Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP Top10 Translation YOMOYAMA talk by Sanae-san

D2c0774c30304e4970b502118aa791fe?s=47 OWASP Japan
January 10, 2018
0
410

OWASP Top10 Translation YOMOYAMA talk by Sanae-san

D2c0774c30304e4970b502118aa791fe?s=128

OWASP Japan

January 10, 2018
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
270
OWASP SAMMを活用したセキュア開発の推進
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
560
20190107_AbuseCaseCheatSheet
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
120
セキュリティ要求定義で使える非機能要求グレードとASVS
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
5
510
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
9
2.4k
Shifting Left Like a Boss
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
200
OWASP Top 10 and Your Web Apps
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
350
OWASP Japan Proposal: Encouraging Japanese Translation
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
1
170
elegance_of_OWASP_Top10_2017
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
420

Featured

See All Featured
Web development in the modern age
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
197
9.3k
GitHub's CSS Performance
64827b31aef81498662e8af4bd6d5157?s=48 jonrohan
1020
420k
How GitHub (no longer) Works
78b475797a14c84799063c7cd073962f?s=48 holman
297
140k
The Straight Up "How To Draw Better" Workshop
Aff5641764408271f7bc398f2097edd0?s=48 denniskardys
225
130k
Designing for Performance
245cee81a9c424266e5e401d844ea881?s=48 lara
597
64k
BBQ
761be20b5ebd271008bcee1244fc5b52?s=48 matthewcrist
74
7.9k
JavaScript: Past, Present, and Future - NDC Porto 2020
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
37
3.3k
Documentation Writing (for coders)
61857dafbd287b3027c4dcea9008ad3c?s=48 carmenintech
48
2.6k
The Power of CSS Pseudo Elements
5b6a2bd86ef643786a381a212e0ef2f1?s=48 geoffreycrofte
47
4k
Embracing the Ebb and Flow
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
73
3.4k
Making Projects Easy
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
98
4.4k
Ruby is Unlike a Banana
6804f1775cb4babfcc3851298566fbce?s=48 tanoku
91
9.3k

Transcript

  1. OWASP Top10翻訳のよもやま話 A8,A9,+R,Risk Rating Methodology (株)オージス総研 アプリケーションセキュリティソリューション部 早苗 朋宏 WASNight

    2018 Kick-Off = OWASP x WASForum Night

  2. Risk Rating Methodology • OWASP活動の中で最初の翻訳でした。 • どうですか? • リスク格付のお役に立ったでしょうか? 2017/9/30

    1

  3. A8:2017-安全でないデシリアライゼー ション • 定量的データに基づくわけではないが、業界調 査で問題になったので、2017にノミネート • こんなシリアライズが危ない – リモート間またはローカル内でのプロセス間通信(RPCやIPC) –

    ワイヤプロトコル、Webサービス、メッセージブローカー – キャッシュ/永続化 – データベース、キャッシュサーバ、ファイルシステム – HTTPクッキー、HTMLフォームのパラメータ、API認証トークン 2017/9/30 2

  4. A9:2017-既知の脆弱性のあるコン ポーネントの使用 • 2013年版は、「既知の脆弱性を持つ」でした が、「持っている」ものでなく、「ある」もの • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的な方法を提案してい ます。 •

    スキャナやチェッカツールの紹介など、より具 体的な解決を支援しています。 2017/9/30 3

  5. +Rリスクに関する注記 • アプリケーションだけでなく、APIも追記されま した。 • それ以外は軽微な変更に留まります。 • 近々、Risk Rating MethodologyへOWASP

    Top 10で用いた用語を反映をしたいと思ってます。 2017/9/30 4

  6. 翻訳の難しかったところ • 「原文に忠実」 ≠ 直訳 • 「日本語で違和感ない」&「原文と文意が同じ」 2017/9/30 5

  7. 翻訳で思い出に残っているところ • 「Exposure」は、 「暴露」なのか? 「露出」なのか? • OWASP Top 10 –

    2013で 「普及度」だった「Prevalence」を 「蔓延度」として提案 「流行レベル」と言う案もありました。 – ここは大いに議論を呼びました 2017/9/30 6

  8. 2017/9/30 7 JOIN OWASP