OWASP Chapters All Day
1 か月かかってようやく全ての OWASP Chapters All Day の講演を聞き終えました。運営いただいたスタッフの皆様、Japan Chapter の講演を聞きに来てくださった皆様、ありがとうございました。
OWASP Chapters All Day とは?
OWASP Chapters All Day Youtube Page https://www.youtube.com/channel/UCJNkJT42qFOBdnD8pCpelrw
24 時間続けて各国のオンラインローカルチャプターイベントを繋いでいくというイベントで 6/7 - 6/8 に開催されました。素晴らしい内容講演が多かったのですが、この記事では講演の中で、OWASP Project に関する示唆があった講演を中心にまとめていきます。
Bergium
OWASP SAMM に関する Session がありました。日本時間 6/17 に開催された OWASP SAMM User Day と併せて活用に際して必要となる多くの情報を手に入れられました。リアルタイムに質問できるオンラインカンファレンスの強みを改めて感じました。
Newyork
Medical Security に関する講演の中で複数の OWASP プロジェクトの紹介がありました。
- OWASP Anti-Ransomware Guide
- OWASP Secure Medical Device Deployment Standard
- OWASP Mutillidae
また OVMG の紹介がありました。
OWASP Vulnerability Management Guide
Detection / Reporting / Remediate のサイクルで脆弱性管理の具体的なベストプラクティスがまとまっています。PSIRT Service Framework と対比して読んでおきたいです。
Chile
OWASP Mobile Top10 に関する言及がありました。Mobile Security Testing Guide と併せて、Mobile のセキュア開発に役立つドキュメントです。
Cairo (Egypt)
OWASP AppSensor Project の活用事例が紹介されていました。今は In-Active なプロジェクトですが、Github 上では更新が続いているので、メンテナンスは継続されています。
Atlanta
Threat Modeling / Threat Analysis を解説する中で、Vulnerability Analysis の文脈で OWASP Top 10 と OWASP ASVS が紹介されていました。
New Zealand
Small, but fierce (but still small)
OWASP Project に直接関係するわけではありませんが、SME 向けのセキュリティに関する講演が興味深かったです。
Let me secure that for you
OWASP ModSecurity Core Rule Set が紹介されていました。私はこのプレゼンスタイルが気に入っています。
Japan
私の講演の中では、CSIRT の構築に関してお話ししました。
Implementing CSIRT based on some frameworks and maturity model
Incident Management については、OWASP SAMM の中でも Security Practice が設けられてされていますが、本格的に成熟度を上げていくとなると OWASP の成果物だけではなかなか難しいと考えています。そういった場合に何らかの手掛かりになれば嬉しいです。
Jakarta
OWASP Risk Assessment Framework に関する解説がありました。短い時間でしたが、使い方を学びたかったツールでしたので有意義でした。
Israel
Vulnerable Dependencies: It’s Not About Discovery
OWASP Defect Dojo がメトリクスの例として紹介されていました。実際にデプロイしてどう活用するかを学びなおしたいです。
Kyiv (Ukraine)
Cybersecurity Economics
OWASP SAMM が Metrics の例として紹介されていました。Security Metrics がコントロールの提供、脆弱性管理とインシデント対応に偏っていて、いかに損失を軽減するかという観点については十分ではないという指摘は示唆に富んでいると感じました。
Cambridge (UK)
OWASP Application Security Curriculum Project の立ち上げに関するセッションと、OWASP SecureFlag Community Edition が紹介するセッションで、教育という観点でまとめられていた Chapter でした。Incubator レベルのプロジェクトを紹介するのは、OWASP Chapters All Day の趣旨にもよく合うなと感じた次第です。
London (UK)
OWASP Nettacker Project の紹介がありました。こうしたツール系のプロジェクトの知識のアップデートが追い付いていないので、参考になりました。Nessus に近いイメージですね。
また Gamification of Threat Modelling の中で、OWASP Cornucopia の紹介がありました。数年前の Codeblue で Cornucopia をいただいたのですが、Threat Modeling の観点でこれを使ったことはなかったので、非常に興味深く聞きました。
ここまでお読みいただきありがとうございました。
たくさんのアーカイブがありますので、ぜひ皆様も英語に恐れずお好きな講演を探してみてください。次回も開催されるとのことですので、楽しみにしています。