OWASP DevSecOps 検証標準

OWASP DevSecOps 検証標準 (OWASP DevSecOps Verification Standard, DSOVS) はあらゆるソフトウェアプロジェクトや組織におけるベースライン要件を定義するオープンソースフレームワークです。DSOVS は以下の目的で使用できます。

• 🧐 ギャップ分析 (Gap Analysis)

  • DSOVS はセキュアソフトウェア開発ライフサイクルのすべての領域をカバーする明確に定義された標準を内外のアナリストに提供することにより、単一または複数のソフトウェアプロジェクト内に存在するギャップを特定するために使用できます。

• 🗺️ 成熟度ロードマップ (Maturity Roadmap)

  • DSOVS は開発者、アーキテクト、セキュリティ担当者、その他誰でも、既存の DevSecOps の成熟度を特定し、より高い成熟度に向けた取り組みのための明確な道筋を描くために使用できます。

• ⚠️ サードパーティのリスク評価時 (During Third-party Risk Asessments)

  • DSOVS はサードパーティのソフトウェア開発ライフサイクル (SDLC) 成熟度の監査に使用できます。サードパーティのソフトウェア開発プロセスに耐性があることを保証し、人、プロセス、ソフトウェアに起因する潜在的な脆弱性を特定するのに役立つため、これは重要です。

💬 連絡先

• #project-devsecops-verification-standard
• @realjvo (Jamieson Vincenti O'Reilly, プロジェクトリーダー)
• @yudhiy (Yudhi Yudhistira, プロジェクトリーダー)

🎉 参加するには

プロセスやテクノロジが絶えず変化する中で、あなたの貢献が DSOVS の進化に役立ちます。

DSOVS をより良いオープンソースプロジェクトにするために、あらゆる種類の貢献やフィードバックを歓迎します。

今すぐコミュニティに参加して、旅の仲間になりましょう。

• 🐞 エラー (誤植、文法) を報告する

• 🛠️ プルリクエストを使用して、エラーの修正や変更を提案する

• 🙋 質問する

• 💡 新しいアイデア

各フェーズには DSOVS が評価するストリームがあります。

📖 目次

組織 (Organisation) フェーズ

🚧 ORG-001 リスク評価 (Risk Assessment)

🚧 ORG-002 セキュリティトレーニング (Security Training)

🚧 ORG-003 セキュリティ担当者 (Security Champion)

🚧 ORG-004 セキュリティレポート (Security Reporting)

要件 (Requirements) フェーズ

🚧 REQ-001 セキュリティポリシーと規制遵守 (Security Policy and Regulatory Compliance)

🚧 REQ-002 セキュリティ要件と標準 (Security Requirements and Standards)

🚧 REQ-003 セキュリティユーザーストーリーと受け入れ基準 (Security User Stories and Acceptance Criterias)

🚧 REQ-004 セキュリティ課題の追跡 (Security Issues Tracking)

設計 (Design) フェーズ

🚧 DES-001 セキュリティアーキテクチャ設計レビュー (Security Architecture Design Reviews)

🚧 DES-002 脅威モデリング (Threat Modelling)

コード/ビルド (Code/Build) フェーズ

🚧 CODE-001 セキュア開発環境 (Secure Development Environment)

✅ CODE-002 ハードコードされたシークレットの検出 (Hardcoded Secrets Detection)

🚧 CODE-003 手動セキュアコードレビュー (Manual Secure Code Review)

🚧 CODE-004 静的アプリケーションセキュリティテスト (Static Application Security Testing, SAST)

🚧 CODE-005 ソフトウェアコンポジション解析 (Software Composition Analysis, SCA)

🚧 CODE-006 ソフトウェアライセンスコンプライアンス (Software License Compliance)

🚧 CODE-007 インライン IDE セキュアコード解析 (Inline IDE Secure Code Analysis)

🚧CODE-008 コンテナセキュリティスキャン (Container Security Scanning)

🚧 CODE-009 セキュア依存関係管理 (Secure Dependency Management)

テスト (Test) Phase

🚧 TEST-001 セキュリティテスト管理 (Security Test Management)

✅ TEST-002 動的アプリケーションセキュリティテスト (Dynamic Application Security Testing, DAST)

🚧 TEST-003 インタラクティブアプリケーションセキュリティテスト (Interactive Application Security Testing, IAST)

🚧 TEST-004 ペネトレーションテスト (Penetration Testing)

🚧 TEST-005 セキュリティテストカバレッジ (Security Test Coverage)

リリース/デプロイ (Release/Deploy) フェーズ

🚧 REL-001 成果物署名 (Artifact Signing)

🚧 REL-002 セキュア成果物管理 (Secure Artifact Management)

🚧 REL-003 シークレット管理 (Secret Management)

🚧 REL-004 セキュアコンフィグレーション (Secure Configuration)

🚧 REL-005 セキュリティポリシーの実施 (Security Policy Enforcement)

🚧 REL-006 Infrastructure-as-Code (IaC) セキュアデプロイメント (Infrastructure-as-Code (IaC) Secure Deployment)

🚧 REL-007 コンプライアンススキャン (Compliance Scanning)

🚧 REL-008 セキュアリリース管理 (Secure Release Management)

運用/監視 (Operate/Monitor) フェーズ

🚧 OPR-001 環境の堅牢化 (Environment Hardening)

🚧 OPR-002 アプリケーションの堅牢化 (Application Hardening)

🚧 OPR-003 環境セキュリティログ記録 (Environment Security Logging)

🚧 OPR-004 アプリケーションセキュリティログ記録 (Application Security Logging)

✅ OPR-005 脆弱性の開示 (Vulnerability Disclosure)

🚧 OPR-006 証明書管理 (Certificate Management)

🚧 OPR-007 攻撃対象領域管理 (Attack Surface Management)