情報システム開発契約のセキュリティ仕様作成のためのガイドライン
V14 構成検証の要件
をテンプレートにして作成
開始行:
[[OWASP ASVS 4.0]]
*管理目標 [#fc335aa3]
検証済みのアプリケーションに以下が含まれていることを確認...
-安全で、再現性があり、自動化可能なビルド環境
-サードパーティのライブラリ、依存関係、構成管理を強化し、...
-管理者とユーザが既定のセキュリティ体制を弱める必要がある...
既定のアプリケーションを構成することは、インターネット上...
**V14.1 ビルド [#i7424f2f]
ビルドパイプラインは再現性のあるセキュリティの基盤です。...
&br;
業界としてDevSecOpsモデルに移行するにつれ、「Known good(...
&br;
もし従来のモデルがまだ存在する場合は、その構成を強化して...
&br;
このセクションに準拠するには、自動ビルドシステムと、ビル...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|14.1.1|アプリケーションのビルドおよびデプロイプロセスが...
|14.1.2|コンパイラフラグが、スタックのランダム化、データ...
|14.1.3|使用しているアプリケーションサーバとフレームワー...
|14.1.4|アプリケーション、構成、およびすべての依存関係が...
|14.1.5|許可された管理者が、セキュリティ関連のすべての構...
&br;
**V14.2 依存関係 [#c63ab373]
依存関係の管理は、あらゆる種類のあらゆるアプリケーション...
注:レベル1では、14.2.1の準拠は、より正確なビルド時の静的...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|14.2.1|すべてのコンポーネントが最新となっている。できれ...
|14.2.2|サンプルアプリケーション、プラットフォームのドキ...
|14.2.3|JavaScriptライブラリ、CSSスタイルシート、Webフォ...
|14.2.4|サードパーティのコンポーネントが、事前に定義され...
|14.2.5|使用しているすべてのサードパーティライブラリのイ...
|14.2.6|サードパーティのライブラリをサンドボックス化また...
&br;
**V14.3 意図しないセキュリティの開示の要件 [#s081395d]
本番環境の構成を強化して、デバッグコンソールなどの一般的...
これらの問題の多くはめったに重大なリスクとして評価されま...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|14.3.1|Webまたはアプリケーションサーバとフレームワークの...
|14.3.2|Webまたはアプリケーションサーバとアプリケーション...
|14.3.3|HTTPヘッダまたはHTTPレスポンスの一部がシステムコ...
&br;
**V14.4 HTTPセキュリティヘッダの要件 [#kcff1b87]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|14.4.1|すべてのHTTPレスポンスに、安全な文字セット(例:U...
|14.4.2|すべてのAPIレスポンスにContent-Disposition:attach...
|14.4.3|HTML、DOM、JSON、JavaScriptインジェクションの脆弱...
|14.4.4|すべてのレスポンスにX-Content-Type-Options:nosni...
|14.4.5|HTTP Strict Transport Securityヘッダがすべてのレ...
|14.4.6|「no-referrer」や「same-origin」のような、適切な...
|14.4.7|サードパーティのサイトに埋め込むべきではないサイ...
&br;
**V14.5 HTTPリクエストヘッダのバリデーションの要件 [#a7c0...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|14.5.1|アプリケーションサーバが、pre-flight OPTIONSを含...
|14.5.2|提供されたOriginヘッダは、攻撃者によって簡単に変...
|14.5.3|オリジン間リソース共有(CORS)のAccess-Control-Al...
|14.5.4|信頼できるプロキシまたはbearerトークンのようなSSO...
&br;
参考情報
詳しくは以下の情報を参照してください。
-OWASP Testing Guide 4.0: Testing for HTTP Verb Tampering...
-Content-DispositionのAPIレスポンスへの追加はクライアント...
Reflected File Download attacks. :https://www.blackhat.co...
-Content Security Policy Cheat Sheet : https://www.owasp....
-Exploiting CORS misconfiguration for BitCoins and Bounti...
-OWASP Testing Guide 4.0: Configuration and Deployment Ma...
-Sandboxing third party components : https://www.owasp.or...
終了行:
[[OWASP ASVS 4.0]]
*管理目標 [#fc335aa3]
検証済みのアプリケーションに以下が含まれていることを確認...
-安全で、再現性があり、自動化可能なビルド環境
-サードパーティのライブラリ、依存関係、構成管理を強化し、...
-管理者とユーザが既定のセキュリティ体制を弱める必要がある...
既定のアプリケーションを構成することは、インターネット上...
**V14.1 ビルド [#i7424f2f]
ビルドパイプラインは再現性のあるセキュリティの基盤です。...
&br;
業界としてDevSecOpsモデルに移行するにつれ、「Known good(...
&br;
もし従来のモデルがまだ存在する場合は、その構成を強化して...
&br;
このセクションに準拠するには、自動ビルドシステムと、ビル...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|14.1.1|アプリケーションのビルドおよびデプロイプロセスが...
|14.1.2|コンパイラフラグが、スタックのランダム化、データ...
|14.1.3|使用しているアプリケーションサーバとフレームワー...
|14.1.4|アプリケーション、構成、およびすべての依存関係が...
|14.1.5|許可された管理者が、セキュリティ関連のすべての構...
&br;
**V14.2 依存関係 [#c63ab373]
依存関係の管理は、あらゆる種類のあらゆるアプリケーション...
注:レベル1では、14.2.1の準拠は、より正確なビルド時の静的...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|14.2.1|すべてのコンポーネントが最新となっている。できれ...
|14.2.2|サンプルアプリケーション、プラットフォームのドキ...
|14.2.3|JavaScriptライブラリ、CSSスタイルシート、Webフォ...
|14.2.4|サードパーティのコンポーネントが、事前に定義され...
|14.2.5|使用しているすべてのサードパーティライブラリのイ...
|14.2.6|サードパーティのライブラリをサンドボックス化また...
&br;
**V14.3 意図しないセキュリティの開示の要件 [#s081395d]
本番環境の構成を強化して、デバッグコンソールなどの一般的...
これらの問題の多くはめったに重大なリスクとして評価されま...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|14.3.1|Webまたはアプリケーションサーバとフレームワークの...
|14.3.2|Webまたはアプリケーションサーバとアプリケーション...
|14.3.3|HTTPヘッダまたはHTTPレスポンスの一部がシステムコ...
&br;
**V14.4 HTTPセキュリティヘッダの要件 [#kcff1b87]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|14.4.1|すべてのHTTPレスポンスに、安全な文字セット(例:U...
|14.4.2|すべてのAPIレスポンスにContent-Disposition:attach...
|14.4.3|HTML、DOM、JSON、JavaScriptインジェクションの脆弱...
|14.4.4|すべてのレスポンスにX-Content-Type-Options:nosni...
|14.4.5|HTTP Strict Transport Securityヘッダがすべてのレ...
|14.4.6|「no-referrer」や「same-origin」のような、適切な...
|14.4.7|サードパーティのサイトに埋め込むべきではないサイ...
&br;
**V14.5 HTTPリクエストヘッダのバリデーションの要件 [#a7c0...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|14.5.1|アプリケーションサーバが、pre-flight OPTIONSを含...
|14.5.2|提供されたOriginヘッダは、攻撃者によって簡単に変...
|14.5.3|オリジン間リソース共有(CORS)のAccess-Control-Al...
|14.5.4|信頼できるプロキシまたはbearerトークンのようなSSO...
&br;
参考情報
詳しくは以下の情報を参照してください。
-OWASP Testing Guide 4.0: Testing for HTTP Verb Tampering...
-Content-DispositionのAPIレスポンスへの追加はクライアント...
Reflected File Download attacks. :https://www.blackhat.co...
-Content Security Policy Cheat Sheet : https://www.owasp....
-Exploiting CORS misconfiguration for BitCoins and Bounti...
-OWASP Testing Guide 4.0: Configuration and Deployment Ma...
-Sandboxing third party components : https://www.owasp.or...
ページ名:
