トップQs
タイムライン
チャット
視点
OWASP
コンピュータセキュリティに関する非営利団体 ウィキペディアから
Remove ads
Open Worldwide Application Security Project(オープン・ワールドワイド・アプリケーション・セキュリティ・プロジェクト、旧称:Open Web Application Security Project[5])(略称:OWASP)は、オンライン・コミュニティであり、IoT、システムソフトウェア、ウェブアプリケーションセキュリティの分野で、自由に利用できる記事、方法論、ドキュメント、ツール、テクノロジーを作成している。[6][7][8] OWASPは無料でオープンなリソースを提供している。The OWASP Foundationと呼ばれる非営利団体によって運営されている。OWASP Top Tenは、40以上の提携組織から集められた包括的なデータに基づいた最近の研究成果として発表されたものである。
Remove ads
歴史
2001年9月9日 - Mark CurpheyがOWASPを立ち上げた。[1]
2003年後半から2011年9月 - Jeff WilliamsはOWASPのボランティア議長を務めた。
2004年 - 米国で設立された501(c)(3)非営利団体であるOWASP Foundationは、OWASPのインフラストラクチャーとプロジェクトを支援。
2011年 - OWASPはベルギーにおいてもOWASP Europe VZWという名称で非営利団体として登録される。[9]
2015年 - Matt Kondaが理事会の議長を務めていた。[10]
2023年2月 - OWASP Foundationのグローバル理事であるBil Corryによって[11]、理事会が名称をOpen Web Application Security Projectから現在の名称に変更し、WebをWorldwideに置き換えることを投票で決定したとTwitter(現X)で報告された。[5]
Remove ads
出版物とリソース
- OWASP Top Ten: 「Top Ten」は2003年に初めて公開され、定期的に更新されている。[12] 組織が直面する最も重大なリスクのいくつかを特定することで、アプリケーションセキュリティに対する意識向上を目的としている。[13][14][15] MITRE、PCI DSS[16]、DISA-STIG(セキュリティ技術導入ガイド)、そしてアメリカのFTC[17][18]を含む多くの標準、書籍、ツール、そして多くの組織がTop 10プロジェクトを参照している。
- OWASP Software Assurance Maturity Model: Software Assurance Maturity Model (SAMM) プロジェクトの使命は、あらゆる種類の組織がソフトウェアセキュリティの体制を分析し、改善するための効果的で測定可能な方法を提供することである。中心的な目的は、柔軟な自己評価モデルを通じて、セキュアなソフトウェアを設計、開発、展開する方法について組織の意識を高め、教育することである。SAMMはソフトウェアのライフサイクル全体をサポートし、テクノロジーやプロセスに依存しない。SAMMモデルは、すべての組織に通用する単一のレシピは存在しないことを認識し、進化的でリスク駆動型になるように設計されている。[19]
- OWASP Development Guide: Development Guideは実践的なガイダンスを提供し、J2EE、ASP.NET、PHPのコードサンプルを含んでいる。このガイドは、SQLインジェクションから、フィッシング、クレジットカード情報の取り扱い、セッション固定、クロスサイトリクエストフォージェリ、コンプライアンス、プライバシー問題といった現代的な懸念事項まで、広範なアプリケーションレベルのセキュリティ問題を網羅している。
- OWASP Testing Guide: OWASP Testing Guideには、組織が独自に実装できる「ベストプラクティス」のペネトレーションテストフレームワークと、最も一般的なWebアプリケーションおよびWebサービスのセキュリティ問題をテストする手法を説明した「低レベル」のペネトレーションテストガイドが含まれている。バージョン4は2014年9月に60人の協力者からの意見を取り入れて公開された。[20]
- OWASP Code Review Guide: コードレビューガイドは現在バージョン2.0で、2017年7月にリリースされた。
- OWASP Application Security Verification Standard (ASVS): アプリケーションレベルのセキュリティ検証を実施するための標準。[21]
- OWASP XML Security Gateway (XSG) Evaluation Criteria Project.[22]
- OWASP Top 10 Incident Response Guidance: このプロジェクトは、インシデントレスポンス計画へのプロアクティブなアプローチを提供する。この文書の対象読者には、ビジネスオーナーからセキュリティエンジニア、開発者、監査、プログラムマネージャー、法執行機関、法務顧問までが含まれる。[23]
- OWASP ZAP Project: Zed Attack Proxy (ZAP) は、Webアプリケーションの脆弱性を見つけるための使いやすい統合ペネトレーションテストツールである。開発者や機能テスターなど、ペネトレーションテストの経験が浅い人々を含む、幅広いセキュリティ経験を持つ人々が使用できるように設計されている。
- Webgoat: セキュアなプログラミング手法のガイドとしてOWASPが作成した、意図的に脆弱に作られたWebアプリケーション。[1] ダウンロードすると、アプリケーションにはチュートリアルと、学生に脆弱性を悪用する方法を教えるための様々なレッスンが付属しており、セキュアなコードを書く方法を教えることを目的としている。
- OWASP AppSec Pipeline: アプリケーションセキュリティ (AppSec) Rugged DevOps Pipelineプロジェクトは、アプリケーションセキュリティプログラムのスピードと自動化を向上させるために必要な情報を見つけるための場所である。AppSec Pipelineは、DevOpsとリーンの原則を取り入れ、それをアプリケーションセキュリティプログラムに適用するものである。[24]
- OWASP Automated Threats to Web Applications: 2015年7月発行。[25] OWASP Automated Threats to Web Applicationsプロジェクトは、アーキテクト、開発者、テスターなどがクレデンシャルスタッフィングなどの自動化された脅威から防御するのに役立つ決定的な情報やその他のリソースを提供することを目的としている。このプロジェクトでは、OWASPが定義した上位20の自動化された脅威の概要が示されている。[26]
- OWASP API Security Project: アプリケーションプログラミングインタフェース(API)に特有の脆弱性とセキュリティリスクを理解し、軽減するための戦略とソリューションに焦点を当てている。[27]
Remove ads
認定資格
OWASPは、特定のセキュリティ分野における学生の知識を認定するためのいくつかの認定スキームを持っている。
セキュリティ基礎
テクノロジースタック全体に適用可能なセキュリティ標準のベースラインセットであり、学習者にOWASPトップ10の脆弱性について教えるものである。[28]
- A01:2021 アクセス制御の不備[29]
- A02:2021 暗号化の失敗[30]
- A03:2021 インジェクション[31]
- A04:2021 セキュアバイデザイン[32]
- A05:2021 セキュリティ設定のミス - 脆弱性につながる可能性のあるセキュリティ設定、権限、および制御の不適切な構成[33]
- A06:2021 脆弱で古くなったコンポーネントの使用[34]
- A07:2021 識別と認証の失敗[35]
- A08:2021 ソフトウェアとデータの整合性の不備[36]
- A09:2021 セキュリティログと監視の失敗
- A10:2021 サーバサイドリクエストフォージェリ (SSRF) - Webアプリケーションがユーザーから提供されたURLを検証せずにリモートリソースを取得することによって引き起こされる[37][38]
受賞歴
OWASP組織は、2014年にヘイマーケット・メディア・グループのSC Magazineエディターズ・チョイス賞を受賞した。[7][39]
脚注
外部リンク
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads