Hello there,

 

ここ数日の作業で、理解を深めたこともあって。

あらためてOWASP TOP10と脆弱性診断ガイドラインの紐づけをブラッシュアップ。

今回は、『脆弱性診断スタートガイド』に載っているCWEを追加してみて。

この本に書かれているCWEは、OWASP TOP10の2004だったり。

OWASP TOP10の2007に含まれていたりと。

さらには、その後、OWASP TOP10からは落ちていたりと。

第二版でありながら、CWE IDは古い情報であり2017には対応しておらず。

ある程度、CWEで追っかけられるのであれば問題ないかもしれませんが。

スタートガイドなのだから、買うのは初心者が多いはずで。

本の目的が、そこではないと言われれば、それまでの話なのですが。

 

 

Best regrds,