Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP Top10 Translation YOMOYAMA talk by Sanae-san
Search
OWASP Japan
January 10, 2018
0
500
OWASP Top10 Translation YOMOYAMA talk by Sanae-san
OWASP Japan
January 10, 2018
Tweet
Share
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
340
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
1k
20190107_AbuseCaseCheatSheet
owaspjapan
0
180
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
1k
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.3k
Shifting Left Like a Boss
owaspjapan
2
290
OWASP Top 10 and Your Web Apps
owaspjapan
2
380
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
240
elegance_of_OWASP_Top10_2017
owaspjapan
2
520
Featured
See All Featured
The Art of Programming - Codeland 2020
erikaheidi
54
13k
Testing 201, or: Great Expectations
jmmastey
42
7.5k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
229
22k
The Invisible Side of Design
smashingmag
299
51k
Code Reviewing Like a Champion
maltzj
524
40k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
107
19k
Code Review Best Practice
trishagee
68
18k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.4k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Transcript
OWASP Top10翻訳のよもやま話 A8,A9,+R,Risk Rating Methodology (株)オージス総研 アプリケーションセキュリティソリューション部 早苗 朋宏 WASNight
2018 Kick-Off = OWASP x WASForum Night
Risk Rating Methodology • OWASP活動の中で最初の翻訳でした。 • どうですか? • リスク格付のお役に立ったでしょうか? 2017/9/30
1
A8:2017-安全でないデシリアライゼー ション • 定量的データに基づくわけではないが、業界調 査で問題になったので、2017にノミネート • こんなシリアライズが危ない – リモート間またはローカル内でのプロセス間通信(RPCやIPC) –
ワイヤプロトコル、Webサービス、メッセージブローカー – キャッシュ/永続化 – データベース、キャッシュサーバ、ファイルシステム – HTTPクッキー、HTMLフォームのパラメータ、API認証トークン 2017/9/30 2
A9:2017-既知の脆弱性のあるコン ポーネントの使用 • 2013年版は、「既知の脆弱性を持つ」でした が、「持っている」ものでなく、「ある」もの • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的な方法を提案してい ます。 •
スキャナやチェッカツールの紹介など、より具 体的な解決を支援しています。 2017/9/30 3
+Rリスクに関する注記 • アプリケーションだけでなく、APIも追記されま した。 • それ以外は軽微な変更に留まります。 • 近々、Risk Rating MethodologyへOWASP
Top 10で用いた用語を反映をしたいと思ってます。 2017/9/30 4
翻訳の難しかったところ • 「原文に忠実」 ≠ 直訳 • 「日本語で違和感ない」&「原文と文意が同じ」 2017/9/30 5
翻訳で思い出に残っているところ • 「Exposure」は、 「暴露」なのか? 「露出」なのか? • OWASP Top 10 –
2013で 「普及度」だった「Prevalence」を 「蔓延度」として提案 「流行レベル」と言う案もありました。 – ここは大いに議論を呼びました 2017/9/30 6
2017/9/30 7 JOIN OWASP
owaspjapan
erikaheidi
jmmastey
danielanewman
smashingmag
maltzj
cassininazir
panda_program
trishagee
garrettdimon
wjessup
marktimemedia
keavy
