OWASP 開発者ガイド

目次

Home > Release-ja

開発者ガイドのロゴb

OWASP 開発者ガイド

安全な Web アプリケーションと Web サービスの構築ガイド

リリースバージョン 4.1.7

1 はじめに

2 基礎
2.1 セキュリティの基本
2.2 セキュアな開発と統合
2.3 セキュリティの原則
2.4 暗号化の原則
2.5 OWASP Top 10

3 要件
3.1 実践における要件
3.2 リスクプロファイル
3.3 OpenCRE
3.4 SecurityRAT
3.5 ASVS の要件
3.6 MAS の要件
3.7 SKF の要件

4 設計
4.1 脅威モデリング
4.1.1 脅威モデリングの実践
4.1.2 pytm
4.1.3 Threat Dragon
4.1.4 Cornucopia
4.1.5 LINDDUN GO
4.1.6 Threat Modeling toolkit
4.2 Web アプリケーションチェックリスト
4.2.1 チェックリスト: セキュリティ要件を定義する
4.2.2 チェックリスト: セキュリティフレームワークおよびライブラリを活用する
4.2.3 チェックリスト: 安全なデータベースへのアクセス
4.2.4 チェックリスト: データのエンコードおよびエスケープ処理
4.2.5 チェックリスト: すべての入力を検証する
4.2.6 チェックリスト: デジタルアイデンティティを実装する
4.2.7 チェックリスト: アクセス制御を強制する
4.2.8 チェックリスト: どこでもデータを保護
4.2.9 チェックリスト: セキュリティログの記録と監視を実施する
4.2.10 チェックリスト: すべてのエラーおよび例外を処理する
4.3 MAS チェックリスト

5 実装
5.1 ドキュメンテーション
5.1.1 Top 10 Proactive Controls
5.1.2 Go Secure Coding Practices
5.1.3 Cheatsheet Series
5.2 依存関係
5.2.1 Dependency-Check
5.2.2 Dependency-Track
5.2.3 CycloneDX
5.3 安全なライブラリ
5.3.1 ESAPI
5.3.2 CSRFGuard
5.3.3 OSHP
5.4 MASWE

6 検証
6.1 ガイド
6.1.1 WSTG
6.1.2 MASTG
6.1.3 ASVS
6.2 ツールによる検証
6.2.1 DAST tools
6.2.2 Amass
6.2.3 OWTF
6.2.4 Nettacker
6.2.5 OSHP による検証
6.3 フレームワークによる検証
6.3.1 secureCodeBox
6.4 脆弱性管理による検証
6.4.1 DefectDojo

7 セキュリティの研修と教育
7.1 脆弱性のあるアプリケーション
7.1.1 Juice Shop
7.1.2 WebGoat
7.1.3 PyGoat
7.1.4 Security Shepherd
7.2 Secure Coding Dojo
7.3 SKF を使用した教育
7.4 SamuraiWTF
7.5 OWASP Top 10 プロジェクト
7.6 Mobile Top 10
7.7 API Top 10
7.8 WrongSecrets
7.9 OWASP Snakes and Ladders

8 セキュリティ文化の構築とセキュリティプロセスの確立
8.1 セキュリティ文化
8.2 セキュリティチャンピオン
8.2.1 セキュリティチャンピオンプログラム
8.2.2 セキュリティチャンピオンガイド
8.2.3 セキュリティチャンピオンプレイブック
8.3 SAMM
8.4 ASVS のプロセス
8.5 MAS のプロセス

9 セキュリティ運用
9.1 DevSecOps Guideline
9.2 Coraza WAF
9.3 ModSecurity WAF
9.4 OWASP CRS

10 メトリクス

11 セキュリティギャップ分析
11.1 ガイド
11.1.1 SAMM におけるギャップ分析
11.1.2 ASVS におけるギャップ分析
11.1.3 MAS におけるギャップ分析
11.2 BLT

12 付録
12.1 実装における「すべきこと」と「すべきでないこと」
12.1.1 コンテナセキュリティ
12.1.2 セキュアコーディング
12.1.3 暗号化のプラクティス
12.1.4 アプリケーションスプーフィング
12.1.5 コンテンツセキュリティポリシー (CSP)
12.1.6 例外とエラーハンドリング
12.1.7 ファイル管理
12.1.8 メモリ管理
12.2 検証における「すべきこと」と「すべきでないこと」
12.2.1 セキュアな環境
12.2.2 システムの堅牢化
12.2.3 オープンソースソフトウェア

Edit on GitHub
Watch Star