OWASP Proactive Control2016 Japanese
?
5 likes?1,471 views
OWASP Proactive Control 2016 日本語版の紹介資料です。 2016/02/27のOWASP DAYの発表スライドです。
OWASP Proactive Control2016 Japanese
- 1. OWASP Proactive Controls 2016 日本語翻訳版リリース 倉持 浩明 OWASP Japan LAC Co., Ltd. @OWASP DAY 2016 2016/02/27
- 2. OWASP Proactive Controls ? "Proactive Control"とは"事前の対策" ? OWASP Top 10で列挙した脆弱性を作りこまないようにするた めに、事前の対策についてまとめたガイドライン ? セキュアなソフトウェア開発の具体的な第一歩 ? 開発者に読んでもらいたいドキュメント https://www.owasp.org/index.php/OWASP_Proactive_Controls
- 3. OWASP Top10とProactive Controls 脆弱性の カタログ 開発者は どこから始めればよいか? テーマごとの 簡潔な解説 日本語版あります 日本語版できました JPCERTさん 絶賛翻訳中!
- 6. 2014→2016 変更点のみどころ が「もっとも大事」 – C1:早期に、繰り返しセキュリティを検証する – セキュリティテストを開発(テスト)プロセスに統合する ? C5:アイデンティティと認証管理の実装 – 多要素認証、モバイル、パスワードのハッシュ化などが追加 ? C8:ロギングと侵入検知の実装 – AppSensor活用、モバイルが追加 ? C9:セキュリティフレームワークやライブラリ を反映 ? 全面に した記述 – エンコード、入力値検証、暗号化、ロギング ? XSSでDomBasedXSSが加わった
- 7. 【補足】C1:早期に、繰り返しセキュリティを検証する Security Testing > Security Scanning ? 11.6秒ごとにデプロイされるのに、ゲートウエイ型のセキュリティスキャンは対応できない ? セキュリティ診断ツールでは機能面のセキュリティをテストできない ? セキュリティ診断ツールはDevOpsでいうプロセスの自働化に向かない ? 要求仕様はテストコードで記述することができる ? 「テストコード」は構成管理の対象とすることができる Continuous Security Testing with Devops - OWASP EU 2014 http://www.slideshare.net/StephendeVries2/continuous-security-testing-with-devops
- 9. Proactive Controls 今後のロードマップ ? (本家)解説用PowerPointの2016年版を作成 ? (本家)チートシートシリーズとのマッピングを追加 ? (Japan)日本語化されたチートシートシリーズへのリファレンス作成
- 10. OWASP Proactive Controls 2016日本語版製作チーム ? 倉持 浩明(OWASP Japan/株式会社ラック) ? 藤本 博史(株式会社ラック) ? 永井 英徳(株式会社ラック) ? 岡田 良太郎 (OWASP Japan/株式会社アスタリスク?リサーチ) ? ロバート?ドラーチャ(OWASP Japan/株式会社アスタリスク?リサーチ) ? 渡邉 浩一郎 ? Kenichi Shibamoto 様 ? Takanori Nakanowatari 様 ? Satoshi Shida 様 ? 緑川 敬紀 様 ? Tokimoto Yoshinori 様 ? 水野 史土 様 ? owasp-japanメーリングリスト参加者の方々 レビューにご協力いただいた皆様(ありがとうございます!) ? Hisae Aonami 様
- 11. GET OWASP Proactive Controls 2016-Japanese https://goo.gl/DjS8pI