AppSec EUオープン Web アプリケーション セキュリティ プロジェクト (OWASP) の議長 Martin Knobloch 氏は、セキュリティ関係者や企業が開発者の仕事を批判するのではなく、開発者に敬意と愛情を示すことを望んでいます。
親しみやすく知識豊富なこのドイツ人はまた、エクスプロイトや脆弱性に固執するのではなく、保険など他の分野ですでに受け入れられている概念であるリスクについて話し合うことに業界の焦点を再び合わせたいと考えている。
OWASPのウェブ脆弱性トップ10リストは、恵みであると同時に呪いでもあると、ノブロック氏はエル・レグ紙に語った。クレジットカードのコンプライアンス団体であるPCIがこれを採択し、ウェブサイトのセキュアコーディングガイドとして推奨したことは恵みだった。OWASPの知名度が上がったからだ。呪いとなったのは、それが単なるチェックリストとして悪用され始めたことだと彼は語った。
オープンウェブアプリケーションセキュリティプロジェクトが新しいセキュアコーディングバイブルを発行
続きを読む
2003年に公開され、定期的に更新されているこのリストは、ウェブサイトアプリケーションのセキュリティにおけるよくある失敗、つまり経験不足や知識不足の人が犯しがちなミスへの意識を高めることを目的としています。これは、自分でコードを書く際、あるいは他者のコードを監査する際に注意すべきセキュリティ上の弱点をまとめたリストです。SQLインジェクションのバグやクロスサイトスクリプティングの脆弱性は常に上位にランクインしており、その傾向は変わりません。
OWASPのトップ10をチェックリストとして使うことの何が問題なのか、と私たちは尋ねました。ノブロック氏は、これはそもそも良いコードの書き方を理解するために使うべきであり、ソースコードが完成してすぐに使えるようになった後にチェックボックスをチェックするだけの作業ではないと述べました。「検証方法に関するガイドは、セキュリティを組み込む方法に関するガイドではありません」と彼は述べました。「セキュリティを明確にする必要があります。」
一方、非営利団体OWASPは、セキュリティ知識フレームワークの開発を推進しています。OWASPソフトウェア保証成熟度モデルは、ガバナンス、コンプライアンス、開発、そしてソフトウェアの保守方法を網羅しています。ノブロック氏によると、バージョン1.5はすでにリリースされており、2.0は完成間近とのことです。
かつては、エリートハッカーが襲い掛かってくるという脅威を煽り立て、恐怖、不確実性、疑念を煽ることがセキュリティソフトウェアの販売戦略でした。事実上、ベンダーはIT幹部や管理者に対し、「自社の開発者は安全なコードを書く能力がない。だからこそ、企業は自社のネットワーク防御製品を必要としているのだ」と伝えているのです。
AppSec Europe での OWASP 会長 Martin Knobloch
「それは間違ったアプローチです」とノブロック氏は言った。「親に近づいて、子どもが醜いと言って、それで会話が成立することを期待しているようなものです」
ソフトウェア開発者は、経営陣から仕事に対して尊敬され、さらには愛されるべきだと言われています。プログラマーは「遅すぎる」「高すぎる」という理由で、セキュアコーディングの全プロセスを外部の製品やチームにアウトソーシングすべきだという考え方は改める必要があるとノブロック氏は言います。
むしろ必要なのは、大学在学中の早い段階で、安全なソフトウェアの書き方に関する知識を蓄積することです。OWASPは教育者と協力してトレーニング教材の開発に取り組んでいます。®
