組み込んだOSSコンポーネントの更新漏れを可視化する「OWASP Dependency Check」
昨今のウェブアプリケーションでは、ほとんどの場合、オープンソースのフレームワークやライブラリのような、自社開発ではないパッケージ化された部品(コンポーネント)を組み合わせて構築することでしょう。ですから、もしも既知の脆弱(ぜいじゃく)性が存在するようなコンポーネントを利用してウェブアプリケーションを開発していた場合には、組み込まれたコンポーネントの脆弱性を悪用され、攻撃を受けてしまう可能性が高くなります。 本稿では、ウェブアプリケーションに組み込まれている脆弱性が存在するコンポーネントの洗い出しに有用な、OWASPコミュニティより公開されているツール「OWASP Dependency Check」の概要および利用方法について解説します。 はじめに 本連載の第1回では、ウェブアプリケーションにおける重要なインパクトのある10のセキュリティリスクについてまとめた「OWASP Top 10」につ
OWASP ZAPではじめる2016年のウェブアプリケーションセキュリティ | gihyo.jp
新年明けましておめでとうございます。昨年は年金機構への標的型攻撃による個人情報の漏えいを筆頭に、セキュリティに関する報道が毎日のように世間を騒がしていました。特にウェブにおいてはHTTP.sysの脆弱性やFlashの脆弱性などが発見されたり、継続して標的型攻撃やパスワードリスト攻撃などの攻撃も繰り返されています。 ウェブの普及に伴い、攻撃を受ける可能性のあるインタフェースが増加し、その攻撃対象も企業から個人まで幅広くなりつつあります。これらの攻撃による情報漏えいやインシデント等の発生から身を守る術、すなわち情報セキュリティを身につけ、自らの情報を自らの手で守り抜くことが求められています。全ての人にとって情報セキュリティへの理解を深めることは課題であると言えます。 OWASPとは このような背景の下、ウェブアプリケーションを作成する開発者や、ウェブアプリケーションに関わる意思決定を行う方々に
OWASP ZAPで開発中にセキュリティ診断!
ウェブアプリケーションのセキュリティ対策を考える上で、リリース直前ではなく、開発中の早期の段階からセキュリティ診断を行い、すぐに脆弱性を修正するというサイクルを繰り返すことが重要です。本記事では、その実践に役立つオープンソースのセキュリティ脆弱性検査ツール「OWASP Zed Attack Proxy(以下OWASP ZAP)」のインストール方法と、主要な機能を紹介します。 はじめに アジャイルやDevOpsといった開発・リリース手法が知られるようになってきました。ウェブアプリケーションのリリーススピードを高めるために役立つからでしょう。また、ビジネスにおいて後れを取らないようにする目的においても期待されているようです。 しかし、そのような中でも、情報処理推進機構(IPA)が公開した資料によると、ウェブアプリケーションに対する攻撃が近年増加の傾向をたどっています。現実の開発現場では、リリー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
株式会社アイムービック
