Hello there,
ここ数日の作業で、理解を深めたこともあって。
あらためてOWASP TOP10と脆弱性診断ガイドラインの紐づけをブラッシュアップ。
今回は、『脆弱性診断スタートガイド』に載っているCWEを追加してみて。
この本に書かれているCWEは、OWASP TOP10の2004だったり。
OWASP TOP10の2007に含まれていたりと。
さらには、その後、OWASP TOP10からは落ちていたりと。
第二版でありながら、CWE IDは古い情報であり2017には対応しておらず。
ある程度、CWEで追っかけられるのであれば問題ないかもしれませんが。
スタートガイドなのだから、買うのは初心者が多いはずで。
本の目的が、そこではないと言われれば、それまでの話なのですが。
Best regrds,