🎵OWASP(オーワスプ)
Open Web Application Security Project (OWASP) は、Web アプリケーションセキュリティの分野において、自由に利用できる記事、方法論、文書、ツール、および技術を作成するオンラインコミュニティです[6][7]。The OWASP Foundationという非営利団体が主導している。OWASP Top 10 - 2021は、40以上のパートナー組織から収集した包括的なデータに基づく最近の調査結果を公表したものです。
マーク・カーフィーは2001年9月9日にOWASPを立ち上げた[1] ジェフ・ウィリアムズは2003年後半から2011年9月までOWASPのボランティア理事長を務めた。2015年現在、マット・コンダが理事長を務めている[10]。
2004年に設立された米国の501(c)(3)非営利団体であるOWASP財団は、OWASPのインフラストラクチャとプロジェクトを支援している。2011年以降、OWASPはベルギーでもOWASP Europe VZWの名で非営利団体として登録されている[11]。
2023年2月、OWASP Foundation Global Board of Directorsの役員であるBil Corryによって[12]、理事会がOpen Web Application Security ProjectからWebをWorldwideに置き換えて現在の名称に改名することに投票したことがTwitterで報告された[7]。
OWASP Top Ten: トップ 10」は、2003 年に初めて公表され、定期的に更新されています[13]。組織が直面する最も重大なリスクのいくつかを特定することによって、アプリケーショ ン・セキュリティに対する意識を高めることを目的としています[14][15][16]。多くの標準、書籍、ツール、そして、MITRE、PCI DSS、[17]国防情報システム局(DISA-STIG)、米国連邦取引委員会(FTC)[18]など、多くの組織が「トップ 10」プロジェクトを参照しています。
OWASP ソフトウェア保証成熟度モデル: ソフトウェア保証成熟度モデル(SAMM)プロジェクトの使命は、あらゆる種類の組織がソフトウェアセキュリティ態勢を分析し、改善するための効果的で測定可能な方法を提供することである。その中心的な目的は、柔軟な自己評価モデルを通じて、安全なソフトウェアを設計、開発、配備する方法について組織の意識を高め、教育することである。SAMM は、ソフトウエアのライフサイクル全体をサポートし、技術やプロセスにとらわれない。SAMM モデルは、すべての組織に通用する単一のレシピが存在しないことを認識し、本質的に進化的でリスク駆動型であるように設計されている[19]。
OWASP 開発ガイド 開発ガイドは、実践的な手引きを提供し、J2EE、ASP.NET、PHP のコードサンプルを含んでいる。開発ガイドは、SQL インジェクションから、フィッシング、クレジットカードの取り扱い、セッションの固定化、クロスサイトリクエストフォージェリ、コンプライ アンス、プライバシーの問題のような最新の問題まで、アプリケーションレベルのセキュリティ問題を幅広くカバーしています。
OWASP テストガイド OWASP テスティングガイドは、ユーザが自身の組織で実施できる「ベストプラクティス」の侵入テストのフレームワークと、最も一般的なウェブアプリケーションとウェブサービスのセキュリティ問題をテストするための技法を記述した「低レベル」の侵入テストガイドを含んでいます。第 4 版は、60 名の個人からの意見を得て、2014 年 9 月に発行されました[20]。
OWASP コードレビューガイド: コードレビューガイドは、現在リリースバージョン 2.0 で、2017 年 7 月にリリースされた。
OWASP アプリケーションセキュリティ検証標準(ASVS): アプリケーションレベルのセキュリティ検証を実施するための標準[21]。
OWASP XML セキュリティゲートウェイ(XSG)評価基準プロジェクト。
OWASP トップ 10 インシデント対応ガイダンス(OWASP Top 10 Incident Response Guidance)。このプロジェクトは、インシデント対応計画に対する事前予防的なアプローチを提供する。この文書の対象読者には、ビジネスオーナー、セキュリティエンジニア、開発者、監査、プログラムマネジャー、法執行機関及び法務局が含まれる[23]。
OWASP ZAP プロジェクト: Zed Attack Proxy(ZAP)は、ウェブアプリケーションの脆弱性を発見するための、使いやすい統合侵入テストツールです。侵入テストに慣れていない開発者や機能テスト担当者など、幅広いセキュリティ経験を持つ人が使えるように設計されています。
Webgoat: 安全なプログラミングの実践のためのガイドとして、OWASP によって作成された意図的に安全でないウェブアプリケーションです[1] 。
OWASP AppSec パイプライン: アプリケーションセキュリティ(AppSec)堅牢なDevOpsパイプラインプロジェクトは、アプリケーションセキュリティプログラムのスピードと自動化を高めるために必要な情報を見つける場所です。AppSec パイプラインは、DevOps とリーンの原則を取り入れ、アプリケーションセキュリティプログラムに適用します。
OWASP Automated Threats to Web Applications: 2015年7月発行[25] - OWASP Automated Threats to Web Applications Projectは、アーキテクト、開発者、テスト担当者、その他が、クレデンシャル・スタッフィングなどの自動化された脅威を防御するのに役立つ、決定的な情報とその他のリソースを提供することを目的としています。このプロジェクトは、OWASP によって定義された自動化された脅威のトップ 20 の概要を示している[26]。
OWASP API Security Project:Application Programming Interfaces(API)特有の脆弱性とセキュリティ[27]リスクを理解し、緩和するための戦略と解決策に焦点を当てている。最新のリスト「API Security Top 10 2019」を含む[28]。
いいなと思ったら応援しよう!
