Programming Self-Study Notebook

勉強したことを忘れないように! 思い出せるように!!

OWASPって何?と思ったので調べてみた

セキュリティ OWASP



皆さんはOWASPと言う組織を聞いたことがありますでしょうか? 私は仕事でWeb開発を行っているので、『なんとなく』知っていたですが、 なんとなくより『一歩深めよう』と思い少し調べてみました。

概要

Open Worldwide Application Security Project( OWASP ) は、Webアプリケーションセキュリティに関するオンラインコミュニティ。

プロジェクト

OWASP Projects are a collection of related tasks that have a defined roadmap and team members. Our projects are open source and are built by our community of volunteers - people just like you! OWASP project leaders are responsible for defining the vision, roadmap, and tasks for the project. The project leader also promotes the project and builds the team. OWASP currently has over 100 active projects, and new project applications are submitted every week.

セキュリティを向上させたいと思うボランティアのコミュニティです。

その中で実施されている活動のことをプロジェクトと呼んでいて、プロジェクトはロードマップとチームメンバーを持ちます。 「プロジェクトリーダーがビジョン、ロードマップ、タスクを定義する。」とあるので、オンラインコミュニティを推進するための強いリーダーシップが求められるのではないかと思います。

プロジェクトにどんな人が参加する?

主な参加者

  • アプリケーション開発者
  • ソフトウェアアーキテクト
  • 情報セキュリティの著者
  • イデアを開発またはテストするために、世界規模の専門コミュニティのサポートを希望する人

プロジェクトの分類

OWASP内のプロジェクトは以下のいずれかに分類されます。

種類 説明 補足
Flagship Projects フラッグシップ プロジェクト
OWASP およびアプリケーション セキュリティ全体にとって戦略的価値を実証したプロジェクト		 TopTenを含む
Production Projects 実稼働プロジェクト
実稼働準備が整ったプロジェクト
Other Projects その他のプロジェクト
Lab プロジェクトと Incubator プロジェクト

フラッグシップ プロジェクトについて

フラッグシップ プロジェクトの一覧を知ることがOWASPの活動内容の概要を把握するのに役立ちそうなので一覧化してみました。

OWASP Amass(OWASP アマス)

情報セキュリティの専門家が、オープンソースのインテリジェンス収集および偵察技術を使用して、攻撃対象領域のネットワークマッピングと外部資産の検出を実行できるようにするオープンソースフレームワーク

OWASP Application Security Verification Standard
(OWASP アプリケーションセキュリティ検証標準)

最新のWebアプリケーションとWebサービスを設計、開発、テストする際に必要なセキュリティ制御の定義に焦点を当てたセキュリティ要件のフレームワーク

OWASP Cheat Sheet Series(OWASP チートシートシリーズ)

アプリケーション開発者と防御者が従うべき一連の簡潔なグッドプラクティスガイドを提供

OWASP CycloneDX(OWASP サイクロンDX)

サイバーリスク削減のための高度なサプライチェーン機能を提供するフルスタックの部品表(BOM)標準

OWASP Defectdojo(OWASP 欠陥道場)

DevOpsと継続的なセキュリティ統合のために構築された、最先端のオープンソースアプリケーション脆弱性管理ツール

OWASP Dependency-Check(OWASP 依存関係チェック)

プロジェクトの依存関係を特定し、既知の公開された脆弱性が存在するかどうかをチェックするソフトウェア構成分析(SCA)ツールスイート

OWASP Dependency-Track(OWASP 依存関係追跡)

組織がソフトウェアサプライチェーンのリスクを特定して軽減できるようにするインテリジェントコンポーネント分析プラットフォーム

OWASP Juice Shop(OWASP ジュースショップ)

セキュリティトレーニング、意識向上デモ、CTF用の最も最新かつ洗練された安全でないWebアプリケーション。セキュリティツールやDevSecOpsパイプラインの自主的なモルモットとしても最適

OWASP Mobile Application Security(OWASP モバイルアプリケーションセキュリティ)

MAS(MobileApplicationSecurity)はモバイルアプリのセキュリティ標準を確立する一連の文書と、モバイルアプリケーションのセキュリティ評価中に使用されるプロセス、技術、ツールをカバーする包括的なテストガイドで構成されています。テスト担当者が一貫した完全な結果を提供できるようにする一連のテストケース。

OWASP ModSecurity Core Rule Set(OWASP ModSecurityコアルールセット)

ModSecurityCoreRuleSet(CRS)は、ModSecurityまたは互換性のあるWebアプリケーションファイアウォールで使用するための一連の汎用攻撃検出ルールです。CRSは、誤った警告を最小限に抑えながら、OWASPトップ10を含む幅広い攻撃からWebアプリケーションを保護することを目的としている。

OWASP OWTF(OWASP OWTF)

OWTF(OffensiveWebTestingFramework)は、優れたツールを統合してペネトレーションテストをより効率的にすることを目的としたOWASP+PTESに焦点を当てたもので、主にPythonで書かれている。

OWASP SAMM(OWASP サム)

SAMM(ソフトウェアアシュアランス成熟度モデル)は、あらゆる種類の組織がソフトウェアセキュリティ体制を分析および改善するための効果的かつ測定可能な方法を提供する。

OWASP Security Shepherd(OWASP セキュリティシェパード)

Webおよびモバイルアプリケーションのセキュリティトレーニングプラットフォームです。SecurityShepherdは、さまざまなスキルセットを持つ層の間でセキュリティ意識を促進し、向上させるように設計されています。このプロジェクトの目的は、AppSecの初心者または経験豊富なエンジニアを受け入れ、侵入テストのスキルセットを強化してセキュリティの専門家の地位を確立することです。

OWASP Top Ten(OWASPトップ10)

最も重大なWebアプリケーションのセキュリティリスクの参照標準です。OWASP Top10を採用することは、おそらく、安全なコードの作成に重点を置いたソフトウェア開発文化を変えるための最も効果的な第一歩です。

OWASP Web Security Testing Guide(OWASP Webセキュリティテストガイド)

Webセキュリティテストガイド(WSTG)プロジェクトは、Webアプリケーション開発者およびセキュリティ専門家向けの最高のサイバーセキュリティテストリソースを作成します。

終わりに

今まではOWASP Top Tenくらいしか意識していませんでしたが、そのほかにもセキュリティを軸に様々な活動が実施されていることを知りました。別の機会に以下の深堀をしていければと考えています。

  • OWASP Cheat Sheet Series(OWASP チートシートシリーズ)
  • OWASP Mobile Application Security(OWASP モバイルアプリケーションセキュリティ)
  • OWASP Top Ten(OWASPトップ10)

参考にしたサイト