ZAP’s docker images provide an easy way to automate ZAP, especially in a CI/CD environment.
ZAP’s docker images provide an easy way to automate ZAP, especially in a CI/CD environment.
2017年に公開された資料・スライドで、CSIRT/情報セキュリティ担当者が読んでおいたほうがいいのでは?というものを独断と偏見でまとめてみました。 これが足りないじゃないか!という意見がある方はPRください。🙏🙏🙏 Note: この投稿は個人ブログ上の記事のQiitaへのクロスポストです。 技術関連資料 JPCERT/CC: インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (2017/12/05) JPCERT/CC: ログを活用したActive Directoryに対する攻撃の検知と対策 (2017/07/28) FIRST: FIRST Publications 2017 人材・組織関連資料 NCA: CSIRT人材の定義と確保(Ver.1.5) (2017/03/13) CSIRT に求められる役割と実現に必要な人材のスキル、育成についてまとめた資料 補足文
こんにちは。インターンの田邉です。 マネーフォワードのセキュリティを支えている「CISO室 セキュリティ推進グループ」に所属しています。 脆弱性診断の内製化 突然ですが、マネーフォワードでは脆弱性診断の内製化を進めています。 理由は下記の3点です。 1.提供サービス増加に伴うコスト高騰 第一の理由はコストです。 1サービスのWebアプリ脆弱性診断コストは限定的です。 しかし、マネーフォワードはB2C/B2Bの新サービスが続々とリリースしているため、トータルのWebアプリ脆弱性診断コストが(調整コストも含め)高まってきました。 2.レポートされる脆弱性の種類 第二の理由は、見つかる脆弱性の種類です。 コストの理由だけでは内製化に踏み切らなかったかもしれません。 重大な脆弱性が見つかるのであれば、それは必要コストです。 しかし、過去に実施したWebアプリ脆弱性診断において、報告される脆弱性の種
久しぶりの Web。周回遅れになっているので、情報収集のために参加した。思っていたのとは、ちょっと違った*1が、参加してよかった。充実した 1 日になった。 案内 https://www.owasp.org/index.php/2017_OWASP_World_Tour_Tokyo 詳細 Opening "OWASP Project Overview for Developers" Training 1 "OWASP TOP 10 を用いた脆弱性対応" Training 2 "最小権限の具体的な実現方法" Training 3 "開発者・運用担当者に向けた、OWASP ZAP を用いた脆弱性診断手法" Training 4 "OWASP BWA を用いた学生および職員向けトレーニング" Training 5 "開発プロジェクトの現状を把握する OWASP SAMM の活用" Closing
「“セキュアなソフトウェア開発”は夢物語ではない」──OWASPがトレーニングを無償で開催:ソフトウェアを作る人、作らせる人に必須の知識を提供 OWASPが2017年9月30日に、アプリケーションセキュリティに関する無償トレーニングイベント「2017 OWASP World Tour Tokyo」を東京工業大学で開催する。開催の狙いをキーパーソンに聞いた。 ソフトウェアセキュリティの向上に向けた情報の共有と啓発に取り組むコミュニティー「Open Web Application Security Project Foundation(OWASP)」が、2017年9月30日にセキュリティに関するトレーニングイベント「2017 OWASP World Tour Tokyo」を東京工業大学で開催すると発表した。 このイベントは、OWASPの成果物を活用したセキュアな開発のためのトレーニングを国内の
本資料は、OWASP の Application Security Verification Standard (ASVS:アプリケーションセキュリティ検証標準) 3.0.1 を翻訳したものです。 ASVS プロジェクトは、アプリケーションの設計、開発、脆弱性診断などにおいて必要となるセキュリティ要件の標準を確立することを目指して活動しています。ASVS v3.0.1 では、アーキテクチャ、認証、セッション管理、アクセス制御など、アプリケーションに必要とされるセキュリティ要件を総計19のカテゴリに分類してまとめています。 また、これらのセキュリティ要件は、必ずしもすべて満たすべきというわけではありません。例えば「入力値検証はサーバ側で実装されている(5.5)」のように、すべてのアプリケーションが満たすべきセキュリティ要件がある一方で、「セキュリティログに完全性を保証する機構が備わっており許
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く