Open Web Application Security Project (OWASP) は、開発者向けセキュリティ バイブルの第 3 版を公開しました。このバイブルでは、余分な部分を削ぎ落とし、より安全なアプリを構築するためのピアレビューとテスト済みの手段を提供しています。
アプリケーション セキュリティ検証標準プロジェクト (ASVS) は、OWASP が頻繁に引用する「Web アプリのセキュリティ上の欠陥トップ 10」に対するアメです。
同社は信奉者に対し、ユーザーのデータを安全に保ち、企業名がデータ侵害の報道サイクルから排除される、より強力で保証されたソフトウェアを約束している。
「トップ10は、やってはいけないことの10項目です」と、OWASPのベテランでセキュリティ専門家のアンドリュー・ファン・デル・ストック氏は言います。「ASVSは開発者に対して、『この20項目をきちんと実行すれば問題は起きません』と言っているのです。」
ビクトリアの Van der Stock 氏は Daniel Cuthbert 氏とともに 2015 ASVS エディション (PDF) の共同プロジェクト リーダーを務めており、2 人とも初期から OWASP マシンに取り組んできました。
「これは [トップ 10] を超えており、アクセス制御、ビジネス ロジックの欠陥、Web サービスに関する新しいトピック、およびいくつかの重要な領域などをカバーしています」と彼は言います。
ビルド前にドキュメントの 20 セクションを理解する開発者は、侵入テストに合格し、クレジットカード業界のデータ セキュリティ標準を満たす可能性が高くなります。
法律とソーセージ
OWASP のガイドは、詳細なチェックリストとして始まったものから、それを使用する人々の教訓に基づいて作成された査読済みのガイドへと、時間の経過とともに大きく成長してきました。
アンドリュー・ファン・デル・ストック。
オランダ税務署は本格的なASVS機関です。2015年版ではOWASPの要請に応え、セキュリティとは直接関係のないASVSチェック項目をいくつか提示しましたが、結果としてそれらは無視されました。
最新版では、これらや類似の機能が削除されています。「もう10年前のJavaライブラリの話ではありません」とヴァン・デル・ストック氏は言います。「最新のアプリケーション開発、AngularJS、RESTfulなど、すべてが網羅されています」
ファン・デル・ストック氏は、ベストプラクティスによってセキュリティが開発プロセスのより早い段階に組み入れられたと述べています。3~4年前、彼をはじめとする業界の人々は、ビルドの最後にペネトレーションテストを実施していました。今では、最初からビルダーと連携するのが最善策です。
「これは大きな変化だ」と彼は言う。「開発者はセキュリティの不安定さに対して責任がある。」
この概念が ASVS の中心にあります。
この作業は、他の業界標準と同様、忍耐のマラソンであったが(ファン・デル・ストック氏は、標準は法律やソーセージと同様に、秘密裏に作成されるべきだと述べている)、レースはまだ終わっていない。
OWASPは、英語が一般的ではない国々において、ASVSを複数のアジア言語に翻訳するボランティアを募集しています。現在、日本語、ベトナム語、マレーシア語、中国語など、積極的に募集しています。®
