OWASP DevSecOps Guideline ja

This is the unofficial Japanese translation of the OWASP DevSecOps Guideline.

• Document Site - https://coky-t.gitbook.io/owasp-devsecops-guideline-ja/

• Document Repository - https://github.com/coky-t/owasp-devsecops-guideline-ja

Originator

• Project Site - https://owasp.org/www-project-devsecops-guideline/

• Project Repository - https://github.com/OWASP/www-project-devsecops-guideline

• Document Repository - https://github.com/OWASP/DevSecOpsGuideline

OWASP DevSecOps ガイドライン 日本語版

• README

V0.3

• 0-概論 (Intro)

  • 0-1-序文 (Intro)

  • 0-2-概要 (Overview)

• 1-要員 (People)

  • 1-1-チーム形成 (Shape-the-team)

    • 1-1-1-セキュリティチャンピオン (Security-champions)

  • 1-2-トレーニング (Training)

    • 1-2-1-セキュアコーディング (Secure-coding)

    • 1-2-2-セキュリティ CI/CD (Security-CICD)

• 2-プロセス (Process)

  • 2-1-設計 (Design)

    • 2-1-1-脅威モデリング (Threat-modeling)

  • 2-2-開発 (Develop)

    • 2-2-1-コミット前 (Pre-commit)

      • 2-2-1-1-プレコミット (Pre-commit)

      • 2-2-1-2-シークレット管理 (Secrets-Management)

      • 2-2-1-3-コードのリンティング (Linting-code)

      • 2-2-1-4-リポジトリ堅牢化 (Repository-Hardening)

  • 2-3-ビルド (Build)

    • 2-3-5-セキュリティゲート (Security-Gates)

    • 2-3-1-静的解析 (Static-Analysis)

      • 2-3-1-1-静的アプリケーションセキュリティテスト (Static-Application-Security-Testing)

    • 2-3-2-ソフトウェアコンポジション解析 (Software Composition Analysis)

      • 2-3-2-1-ソフトウェアコンポジション解析 (Software-Composition-Analysis)

    • 2-3-3-コンテナセキュリティ (Container-Security)

      • 2-3-3-1-コンテナスキャン (Container-Scanning)

      • 2-3-3-2-コンテナ堅牢化 (Container-Hardening)

    • 2-3-4-Infastructure as Code セキュリティ (Infrastructure as Code Security)

      • 2-3-1-3-Infastructure as Code スキャン (Infastructure-as-Code-Scanning)

  • 2-4-テスト (Test)

    • 2-4-1-インタラクティブアプリケーションセキュリティテスト (Interactive-Application-Security-Testing)

    • 2-4-2-動的アプリケーションセキュリティテスト (Dynamic-Application-Security-Testing)

    • 2-4-3-モバイルアプリケーションセキュリティテスト (Mobile-Application-Security-Test)

    • 2-4-4-API セキュリティ (API-Security)

    • 2-4-5-構成ミスチェック (Misconfiguration-Check)

  • 2-5-リリース (Release)

    • 2-5-1-リリース (Release)

  • 2-6-デプロイ (Deploy)

    • 2-6-1-デプロイ (Deploy)

  • 2-7-運用 (Operate)

    • 2-7-1-クラウドネイティブセキュリティ (Cloud-Native-Security)

    • 2-7-2-ログ記録と監視 (Logging-and-Monitoring)

    • 2-7-3-ペンテスト (Pentest)

    • 2-7-4-脆弱性管理 (Vulnerability-Management)

    • 2-7-6-侵害と攻撃のシミュレーション (Breach-and-attack-simulation)

• 3-ガバナンス (Governance)

  • 3-2-データ保護 (Data-protection)

  • 3-1-コンプライアンス監査 (Compliance-Auditing)

    • 3-1-1-コンプライアンス監査 (Compliance-Auditing)

    • 3-1-2-Policy as Code (Policy-as-code)

    • 3-1-3-セキュリティベンチマーク (Security-benchmarking)

  • 3-3-レポーティング (Reporting)

    • 3-3-1-成熟度追跡 (Tracking-maturities)

    • 3-3-2-脆弱性一元管理ダッシュボード (Central-vulnerability-management-dashboard)

V0.2

• 0-概論 (Intro)

  • 0-1-序文 (Intro)

  • 0-2-概要 (Overview)

• 1-導入 (Init)

  • 1-1-チーム形成 (Shape-the-team)

    • 1-1-1-セキュリティ担当者 (Security-champions)

  • 1-2-トレーニング (Training)

    • 1-2-1-セキュアコーディング (Secure-coding)

    • 1-2-2-セキュリティ CI/CD (Security-CICD)

• 2-コミット前 (Pre-commit)

  • 2-1-プレコミット (Pre-commit)

  • 2-2-脅威モデリング (Threat-modeling)

  • 2-3-リポジトリ堅牢化 (Repository-hardening)

  • 2-4-シークレット管理 (Secrets-Management)

  • 2-5-コードのリンティング (Linting-code)

• 3-コミット CI (Commit-CI)

  • 3-2-インタラクティブアプリケーションセキュリティテスト (Interactive-Application-Security-Testing)

  • 3-1-静的解析 (Static-analysis)

    • 3-1-1-静的アプリケーションセキュリティテスト (Static-Application-Security-Testing)

    • 3-1-2-ソフトウェアコンポジション解析 (Software-Composition-Analysis)

    • 3-1-3-コンテナセキュリティ (Container-Security)

      • 3-1-3-1-コンテナスキャン (Container-scanning)

      • 3-1-3-2-コンテナ堅牢化 (Container-hardening)

    • 3-1-4-Infastructure as Code (Infastructure-as-code)

• 4-継続的デリバリ CD (Continuous-delivery-CD)

  • 4-1-動的アプリケーションセキュリティテスト (Dynamic-Application-Security-Testing)

  • 4-2-モバイルアプリケーションセキュリティテスト (Mobile-Application-Security-Test)

  • 4-3-API セキュリティ (API-Security)

  • 4-4-設定ミスのチェック (Miss-Configuration-Check)

• 5-デプロイ CD 稼働開始 (Deploy-CD-Golive)

  • 5-1-鍵と証明書の管理 (Key-and-certificate-management)

  • 5-2-クラウドネイティブアプリケーション保護プラットフォーム (Cloud-Native-Application-Protection-Platform)

• 6-運用 (Operation)

  • 6-1-稼働時テスト|継続的テスト (Runtime|Continuous-test)

    • 6-1-1-インフラスキャン (Infra-scanning)

      • 6-1-1-1-クラウドリソース (Could-resources)

      • 6-1-1-2-K8S リソース (K8S-resources)

    • 6-1-2-イメージスキャン (Image-scanning)

  • 6-2-侵害と攻撃のシミュレーション (Breach-and-attack-simulation)

  • 6-3-ログ記録と監視 (Logging-and-Monitoring)

  • 6-4-ペンテスト (Pentest)

  • 6-5-脆弱性開示ポリシーとバグバウンティ (VDP|Bug-bounty)

• 7-ガバナンス (Governance)

  • 7-1-コンプライアンス監査 (Compliance-Auditing)

    • 7-1-1-コンプライアンス監査 (Compliance-Auditing)

    • 7-1-2-Policy as Code (Policy-as-code)

    • 7-1-3-セキュリティベンチマーク (Security-benchmarking)

  • 7-2-データ保護 (Data-protection)

  • 7-3-レポーティング (Reporting)

    • 7-3-1-成熟度追跡 (Tracking-maturities)

    • 7-3-2-脆弱性一元管理ダッシュボード (Central-vulnerability-management-dashboard)

V0.1

• 00. OWASP DevSecOps ガイドラインの概要

• 00a. DevSecOps 入門

• 00b. 脅威モデリング

• 01. コミット前に

• 01a. シークレットとクレデンシャルに注意

• 01b. コードのリンティング

• 02. 脆弱性スキャン

• 02a. 静的スキャンはプロセスの重要な部分

• 02b. 動的アプリケーションセキュリティテスト (DAST)

• 02c. インタラクティブアプリケーションセキュリティテスト

• 02d. ソフトウェアコンポーネント/コンポジション解析 (SCA)

• 02e. インフラストラクチャ脆弱性スキャン

• 02f. コンテナ脆弱性スキャン

• 02g. プライバシー

• 02h. 脆弱性の一元管理

• 03. コンプライアンス監査

License

Creative Commons Attribution-ShareAlike 4.0 International

Translator (Japanese)

Koki Takeyama

• Document Site - https://coky-t.gitbook.io/owasp-docs-ja/

• Document Repository - https://github.com/coky-t/owasp-docs-ja