Shikata Ga Nai

Private? There is no such things.

OWASP ASVSについて感想をかいてみた

Hello there, ('ω')ノ

 

一回目のワクチンを接種後に副反応がきつかったので週末は横になって。

YouTubeで脆弱性診断サービス関連の動画の音声だけを聞きながら過ごしていて。

各社、脆弱性診断サービスのレベルはさまざまで。

ツールベースのところも少なくないようで。

本当に大丈夫かなあといらない心配もしたりと。

大きなお世話なのですが。

 

他には、ツールでは難しい診断はパートナー企業へとのこともあって。

結局は、委託していたりと。

 

中でも興味のあったのは、OWASP ASVSをベースに。

各ホワイトハッカーの診断手法を標準化してばらつきをなくしているとか。

さっそく、拝見してみたのですが、個人的にはちょっと納得いかなくて。

ASVSをベースにするとどのような診断手法の標準化ができるのだろうかと。

軽く目を通しただけなのですが、自分の頭では診断のイメージがつかなかったりと。

 

個人的な意見としては、これは開発する際にエンジニアが読むべき内容であって。

レビューの際に使用するには有効ではないかと思ったりしただけで。

ASVSをベースに診断手法を標準化するとなると大変だろうなあと。

やはり、個人的にはWSTGベースのほうが実践に向いているようにも思えて。

これもまた、大きなお世話なのですが。

 

https://github.com/OWASP/ASVS/tree/master/4.0

 

f:id:ThisIsOne:20210906101807p:plain

 

https://github.com/OWASP/ASVS/blob/master/4.0/OWASP-Application-Security-Verification-Standard-4.0-ja.pdf

 

f:id:ThisIsOne:20210906102012p:plain

 

Best regards, (^^ゞ