先日日本語訳版が発表されたばかりの OWASPアプリケーション検証標準 バージョン4(以下ASVS v4)を用いて、 Webアプリケーションセキュリティの評価をサービスに対して実施した感想などについて記載します。 ASVS v4は非常に包括的なWebアプリケーションセキュリティの評価ガイドラインです。 それこそ「エンジニア研修でまず最初に読もう!」と推進したくなるほど多角的に記載がされています。 どのぐらい包括的であるかについてですが、開発体制・ログ・認証・ログインフォームの設計・総当たりに対するアカウントロックの時間・GraphQLにおけるセキュリティなど、とにかく盛りだくさんな記載がされています。 すべてのエンジニアにとって必読の ASVS v4 こんにちは、佐分基泰と申します。 16年の新卒として入社し、サーバサイド -> 脆弱性診断士を経て、 現在はOSS Libraryセキュリテ
![今一番アツいWebセキュリティガイドラインOWASP ASVS v4でリスク評価した話](https://cdn-ak-scissors.b.st-hatena.com/image/square/91b0635afbe3d4ccd84e15dfd2dae1bd2f402286/height=288;version=1;width=512/https%3A%2F%2Fengineering.visional.inc%2Fblog%2F164%2Fowas-asvs-v4-assesment%2F2020_09_24_ogp_hu65100c2320ead5454eda05f37accf78d_686966_1200x630_fill_q90_lanczos_center.jpg)