😊
そもそも[OWASP Top 10]ってなんです?
概要:OWASPという団体が作成するWebアプリケーションのセキュリティに関する脆弱性TOP10です。OWASPの他にどんなセキュリティ団体があるのか、ランキングって他にもあるのか?など調べました。そのため、[OWASP Top 10]の各項目についてはこの記事では説明しません。
-
OWASPついて
- 概要:Open Web Application Security Projectの略で2001年に設立された非営利団体
- 目的:Webアプリケーションセキュリティに関する情報の共有やプロジェクトの開発、教育・啓蒙活動を行うこと
- 参加者:世界中のセキュリティ専門家やアプリケーション開発者、研究者
- 活動:オープンソースのツールやドキュメントの開発、カンファレンスやトレーニングの開催、脆弱性情報の共有、その他
-
現在迄のバージョン(3年おきなんで2024年にリニューアル?)
-
他のOWASPランキング(スマホとかIOTとか)
- OWASP DevSecOps Top 10
- OWASP Machine Learning Security Top 10
- OWASP Kubernetes Top 10
- OWASP Low-Code/No-Code Top 10
- OWASP Data Security Top 10
- OWASP Cloud-Native Application Security Top 10
- OWASP Desktop App Security Top 10
- OWASP Mobile Top 10
- OWASP internet of things Top 10
- OWASP Smart Contract Security Top 10
- OWASP Serverless Top 10
-
OWASP以外の団体とランキング(色んな種類の脆弱性報告)
- 米国国家安全保障局(NSA)/MITRE Corporation/SANS Institute(米国の情報セキュリティ組織): 脆弱性のタイプに着目してランキングを発表
- アメリカ国立標準技術研究所(NIST):脆弱性データベース(NVD)でCVE (Common Vulnerabilities and Exposures) と呼ばれる脆弱性の識別子で管理
- ENISA: 欧州連合のサイバーセキュリティ機関で、EUレベルでの脅威分析や、脆弱性を発表しています。
- JVN: IPAが運営する脆弱性情報ポータル
Discussion