現在、「ASVS」について勉強しております。
まず、ASVSとは
と、その前に!
「ASVS」を提唱している
「OWASP」について
OWASPは【The Open Web Application Security Project】の略
ウェブアプリケーションセキュリティをとりまく課題を解決することを目的とする、
国際的なオープンなコミュニティです。
「OWASP TOP10」を聞いたことあるでしょうか?
それも提唱しているところです。
(ざっくりと)
「ASVS」について
ASVSは【Application Security Verification Standard】の略
アプリケーションセキュリティ検証標準という意味で、
様々なアプリケーションの設計、開発、脆弱性診断などにおいて
必要となるセキュリティ要件の標準を確立することを目指して活動しています。
分かりやすく言うと「アプリケーションのJISマーク」のような感じです。
ASVSでは各アプリケーション毎に満たすべき項目が変わっています。
段階としてレベル1~3まで。
そのなかでもレベル1は「全てのアプリケーションが満たすべきもの」
となっているため、アプリケーションを作るうえで必ずは押さえておきたい項目になります。
現在のバージョン(3.0.1)が以下のURLにすべて記載してあるので
「自分でアプリケーションを作ってみたい」「自分の現場はどれくらいの項目ができているんだろう」など
興味があれば見てみてください。
https://www.jpcert.or.jp/securecoding/OWASP_ASVS_20160623.pdf
これがある程度(というかレベル1はすべて)出来ていれば
後々に大きなインシデントを起こすようなアプリケーションは生まれることはないでしょう。
ただ、セキュリティについては「セキュリティの技術」「クラッカーの技術」がともに進歩しているので、
メンテナンスなどは必要になっていきます。
今の「ASVS 3.0.1」は2106/6/23が公開日となっているためかなり古いのかなと個人的には思っています。
(それでも見ておいて損はない)
そして、
今回はその資料を個人的に見やすく作ってみたので共有します!
「我こそはWEBエンジニア也」
とちょっとでも思った方は是非御覧ください。
▼▽▼▽▼▽▼▽▼▽▼▽▼▽▼▽▼▽▼▽▼▽
ASVS 3.0.1まとめ - Google スプレッドシート
▲△▲△▲△▲△▲△▲△▲△▲△▲△▲△▲△
※まだ資料が未完成の部分があったりなかったりなので
思ったこと、もっとこうして欲しい
などの意見をお願いいたします!!