What's Next For Developers
開発者の次の一手
The task to create and maintain secure applications, or fixing existing applications, can be difficult. It is no different for APIs. 安全なアプリケーションを新規作成・保守したり、既存アプリを修正したりする作業は難しく、API でも事情は同じです。
We believe that education and awareness are key factors to writing secure software. Everything else required to accomplish the goal depends on establishing and using repeatable security processes and standard security controls. 私たちは、教育と認知 が安全なソフトウェアを書くための鍵だと考えています。目標達成に必要なその他すべては、再現可能なセキュリティプロセスと標準的なセキュリティコントロールを確立し、活用すること にかかっています。
OWASP provides numerous free and open resources to help you address security. Please visit the OWASP Projects page for a comprehensive list of available projects. OWASP はセキュリティ対策に役立つ無料かつオープンなリソースを多数提供しています。入手可能なプロジェクトの一覧は OWASP Projects ページ を参照してください。
| Item | Content |
|---|---|
| Education | The Application Security Wayfinder should give you a good idea about what projects are available for each stage/phase of the Software Development LifeCycle (SDLC). For hands-on learning/training you can start with OWASP crAPI - Completely Ridiculous API or OWASP Juice Shop: both have intentionally vulnerable APIs. The OWASP Vulnerable Web Applications Directory Project provides a curated list of intentionally vulnerable applications: you'll find there several other vulnerable APIs. You can also attend OWASP AppSec Conference training sessions, or join your local chapter. (日本語)Application Security Wayfinder では、SDLC(ソフトウェア開発ライフサイクル)の各フェーズで利用可能なプロジェクトを把握できます。ハンズオンの学習には、意図的に脆弱な API を備えた OWASP crAPI - Completely Ridiculous API や OWASP Juice Shop から始められます。OWASP Vulnerable Web Applications Directory Project は意図的に脆弱なアプリのキュレーション一覧を提供しており、他にも多数の脆弱な API を見つけられます。OWASP AppSec Conference のトレーニングに参加したり、地域チャプターに参加 することも可能です。 |
| Security Requirements | Security should be part of every project from the beginning. When defining requirements, it is important to define what "secure" means for that project. OWASP recommends you use the OWASP Application Security Verification Standard (ASVS) as a guide for setting the security requirements. If you're outsourcing, consider the OWASP Secure Software Contract Annex, which should be adapted according to local law and regulations. (日本語)セキュリティは 最初から あらゆるプロジェクトに組み込むべきです。要件定義では、そのプロジェクトにおける「安全」の意味を明確にすることが重要です。セキュリティ要件の指針として、OWASP ASVS の利用が推奨されます。外部委託する場合は、地域の法規に合わせて調整可能な OWASP Secure Software Contract Annex を検討してください。 |
| Security Architecture | Security should remain a concern during all the project stages. The OWASP Cheat Sheet Series is a good starting point for guidance on how to design security in during the architecture phase. Among many others, you'll find the REST Security Cheat Sheet and the REST Assessment Cheat Sheet as well the GraphQL Cheat Sheet. (日本語)セキュリティは 全工程を通して 懸念事項であり続けるべきです。アーキテクチャ段階での設計指針は OWASP Cheat Sheet Series から始められます。例えば、REST Security Cheat Sheet、REST Assessment Cheat Sheet、GraphQL Cheat Sheet などがあります。 |
| Standard Security Controls | Adopting standard security controls reduces the risk of introducing security weaknesses while writing your own logic. Although many modern frameworks now come with effective built-in standard controls, OWASP Proactive Controls gives you a good overview of what security controls you should look to include in your project. OWASP also provides some libraries and tools you may find valuable, such as validation controls. (日本語)標準的なセキュリティコントロールを採用することで、自作ロジックに弱点を持ち込むリスクを低減できます。多くの最新フレームワークには効果的な組み込みコントロールがありますが、OWASP Proactive Controls はプロジェクトに含めるべきコントロールの全体像を示します。入力検証などに役立つ ライブラリやツール も OWASP から提供されています。 |
| Secure Software Development Life Cycle | You can use the OWASP Software Assurance Maturity Model (SAMM) to improve your processes of building APIs. Several other OWASP projects are available to help you during the different API development phases e.g., the OWASP Code Review Guide. (日本語)API を構築するプロセスの改善には、OWASP SAMM を活用できます。各開発フェーズを支援する他の OWASP プロジェクトとして、OWASP Code Review Guide なども利用できます。 |