サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
ノーベル賞
blog.owaspjapan.org
先日公開されたOWASP Top10 2017の日本語版を公開しました。公開した資料はOWASP JapanのHPからダウンロードいただけます。 前回バージョンのOWASP Top10 2013からの変更点は下図のとおりです。 2013年版からの変更点 2017年版では、2013年版からA8−CSRFとA10−未検証のリダイレクトと転送がランキング外となっており、一方でA4:2017−XXE、A8:2017−安全でないデシリアライゼーション、A10:2017−不十分なロギングとモニタリングが新たにランキング入りしています。特に新たにランキング入りしたリスクに関しては、その内容についてご確認いただき、考慮・評価していっていただければと思います。もっとも、本文に記載のとおり10まででやめずに、上記ランキング外となったリスクを一例とした他のリスクについても考慮・評価していく必要があります。また2
先日発表されたOWASP Top 10 2017 からも参照されているOWASP Risk Rating Methodologyの日本語版を公開しています。 OWASP Risk Rating Methodology(OWASPリスク格付手法)はビジネスに関連するリスクについて、発生可能性、技術的影響度及びビジネス的影響度から重大度を見積もり、優先的に対処すべきリスクを特定するフレームワークです。 OWASPリスク格付手法のアプローチは、以下のステップからなります。 リスクの特定 発生可能性を見積もるための要素 影響度を見積もるための要素 リスクの重大度の判断 解決するものを決める リスク評価モデルのカスタマイズOWASPリスク格付手法のステップ 以下各ステップについて、簡単に紹介します。 1.リスクの特定 リスク格付を実施するにあたりまず、評価する必要があるリスクを特定します。 2.発生
12月13日に渋谷ヒカリエのLINE株式会社にて開催されたOWASP Night 22ndにおいてOWASP Japan Promotion Teamからお知らせいたしましたとおり、2016年版OWASP Cheat Sheet Seriesインデックス日本語版を公開いたしました! OWASP Cheat Sheet Seriesインデックスは、過去ブログ記事(OWASP Cheat Sheet Seriesを日本語訳して馴染みやすくしてみた。)にも掲載のとおり、 日本語化されていないOWASPドキュメントは馴染みづらい印象を受けるとともにその利用を躊躇している 日本語化されていないOWASPドキュメントの中にも有用なドキュメントは数多く存在し、その中でもOWASP Cheat Sheet Seriesはセキュリティを専任とする方をはじめ、開発者、設計者、マネジャー、利用者など、どの立場の
IPAから年度末に公表された「脆弱性対策コンテンツリファレンス」がわかりやすく、感化されたのでその勢いで「OWASPコンテンツリファレンス」を作成しました。 OWASPとしてカンファレンスへの出展、勉強会を開催すると、「OWASPのツールはどのように使われているの?」というご質問を受けることがあります。 このようなご意見に少しでも答えられるように、OWASPの主要なドキュメントやツールがどのようなものであり、またどのように活用されているかをまとめた「OWASPコンテンツリファレンス」を作成いたしました。 OWASPコンテンツリファレンスでは、工程を1.企画・要件定義、2.設計・開発、3.テスト、4.運用・保守の4つに分類するのに合わせて、それぞれの工程にメインで携わる役割を以下のように定義しています。その上で、各役割の方がご活用いただけるOWASPのドキュメントやツールを紹介しています。
開発者向けのカンファレンスなどで開発者の方とお話すると、「セキュリティの勉強を始める必要性は感じているけど何から始めたらよいかわからない」といったご意見をしばしばいただきます。このようなご意見に対する解決の示唆となる「A QUICK DEVELOPER’S GUIDE TO OWASP PROJECTS」というinfographicを見つけましたのでその概要をご紹介いたします。 A QUICK DEVELOPER’S GUIDE TO OWASP PROJECTSとはA QUICK DEVELOPER’S GUIDE TO OWASP PROJECTS は、ソフトウェアをセキュアにするために踏む必要がある8つの段階と各段階において参照可能なOWASPの成果物について示すinfographicsです。 筆者は、OWASP Japanアドバイザリーボードの中野渡さんの以下のつぶやきによりその存
OWASPとは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。ここでは、OWASP Japan公式サイト等では伝えきれないマル得情報を配信します。 OWASP Top 10に代表される日本語化された成果物と比較すると、日本語化されていないOWASPの成果物は馴染みづらい印象を受けるとともにその利用を躊躇しているといったご意見を何度かいただいています。 とはいえ日本語化されていない成果物の中にも有用な成果物は数多く存在し、その中でもOWASP Cheat Sheet Seriesはセキュリティを専任とする方をはじめ、開発者、設計者、マネジャー、利用者など、どの立場の方にとっても有用な情報が詰まっています。それゆえに、
OWASP Chapters All Dayというイベントを6月6日21時より、スタートします。このイベントは、全世界の有志25のチャプターが世界をぐるっと一周、およそ1時間ずつほどのリレープレゼンで駆け巡ります。 配信はYouTube Liveでなされる予定です。 世界中のチャプターからボランティアで提供されるプレゼンテーション内容は、サイバーリジリエンス、HTTP Security、ペンテスト、CSIRT、コード診断、OSINT、脅威分析、成熟度モデルなど、盛り沢山です。 https://owasp.org/www-community/pages/social/chapters_all_day/schedule/ 全体のライブURL(土曜21時より) https://www.youtube.com/channel/UCJNkJT42qFOBdnD8pCpelrw 日本のライブURL(日
新年度一発目のOWASPナイトから早1ヶ月、ほとんどの方がゴールデンウィークを終え、日常が戻りつつあると存じますがいかがお過ごしでしょうか。 この度「OWASPってどんな活動しているの?」、「プロモーションチームって何しているの?」などといった疑問にお応えすべく、OWASP Japanのリアルをこの場で定期的に発信していくこととしました。 OWASPとはOpen Web Application Security Projectの略であり、グローバルに活動する団体です。プロジェクトとは、自発的に行うものであり頼まれてやるものではありません。したがってOWASPは、「インターネットにおける安全なウェブ社会実現のための自発的な活動の総称」であると私は理解しています。 日本におけるOWASPとは日本においては、OWASP Japan(主に東京)、OWASP Kansai(主に大阪、兵庫)、OWAS
このページを最初にブックマークしてみませんか?
『OWASP Japan Blog 〜I can blog a little〜』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く