よくある質問

よくある質問

「ウェブ」、「アプリケーション」、「自動化された脅威」とは何を意味しますか？

プロジェクトの 用語集 の定義を参照してください。

「オントロジー」とは何ですか？

オントロジーはタイプ、プロパティ、関係の集合です。これらは一緒になって主題記述言語を定義します。この変わったオントロジーは現実世界のオーナーが通常の操作で自らのウェブアプリケーションに影響を与えていることを観察する自動化された脅威を表すことを意図しています。

これは別のバグ (脆弱性) リストではないのですか？

いいえ、自動化された脅威と名付けられたイベントは実装上のバグではありません。自動化された手段による機能の悪用に関連するものです。

では OWASP Top N リストでしょうか？

いいえ違います。これはオントロジーで現在 21 の項目を含みますが、将来さらに多く特定されるかもしれません。またこれは (OWASP Top N リストのような) 順序付けられたリストではありません。OAT 識別番号はランダムに割り当てられているため、これを強調するためにリストをアルファベット順に記述することがよくあります。

「誰か」がすでにそれをしているのでは？

存在しないことがわかりました。調査した情報源には多くの脅威が言及されていますが、全体的なリストや定義はありませんでした。自動化された脅威イベントは MITRE CAPEC および WASC Threat Classification に定義された少数の項目に含まれる傾向があることがわかりました。他の自動化された脅威リスト/分類法/オントロジーをご存じであれば、ぜひ共有してください。

「OAT」とは何ですか？

OWASP Automated Threat (OAT) の略です。

自分の問題がどの OAT なのかわからず混乱しています。どうすれば特定すればよいでしょうか？

2017 年に正しい OAT を特定するのに役立つ 脅威識別チャート を作成しました。これは ハンドブック の詳しい説明を読むことで確認できます。短い概要は各 OAT 名の重要な説明です。

手伝うにはどうすればよいですか？

Google Group に参加して、アイデアを送信し、説明、修正、改善を投稿し、プロジェクトとそのハンドブックについて他の人に知らせてください。