📗
owasp-devsecops-verification-standard-ja
  • OWASP DevSecOps Verification Standard (DSOVS) ja
  • OWASP DevSecOps 検証標準 日本語版
    • OWASP DevSecOps 検証標準
    • リーダー
  • 組織 (Organisation) フェーズ
    • ORG-001 リスク評価 (Risk Assessment)
    • ORG-002 セキュリティトレーニング (Security Training)
    • ORG-003 セキュリティ担当者 (Security Champion)
    • ORG-004 セキュリティレポート (Security Reporting)
  • 要件 (Requirements) フェーズ
    • REQ-001 セキュリティポリシーと規制遵守 (Security Policy and Regulatory Compliance)
    • REQ-002 セキュリティ要件と標準 (Security Requirements and Standards)
    • REQ-003 セキュリティユーザーストーリーと受け入れ基準 (Security User Stories and Acceptance Criterias)
    • REQ-004 セキュリティ課題の追跡 (Security Issues Tracking)
  • 設計 (Design) フェーズ
    • DES-001 セキュリティアーキテクチャ設計レビュー (Security Architecture Design Reviews)
    • DES-002 脅威モデリング (Threat Modelling)
  • コード/ビルド (Code/Build) フェーズ
    • CODE-001 セキュア開発環境 (Secure Development Environment)
    • CODE-002 ハードコードされたシークレットの検出 (Hardcoded Secrets Detection)
    • CODE-003 手動セキュアコードレビュー (Manual Secure Code Review)
    • CODE-004 静的アプリケーションセキュリティテスト (Static Application Security Testing, SAST)
    • CODE-005 ソフトウェアコンポジション解析 (Software Composition Analysis, SCA)
    • CODE-006 ソフトウェアライセンスコンプライアンス (Software License Compliance)
    • CODE-007 インライン IDE セキュアコード解析 (Inline IDE Secure Code Analysis)
    • CODE-008 コンテナセキュリティスキャン (Container Security Scanning)
    • CODE-009 セキュア依存関係管理 (Secure Dependency Management)
  • テスト (Test) フェーズ
    • TEST-001 セキュリティテスト管理 (Security Test Management)
    • TEST-002 動的アプリケーションセキュリティテスト (Dynamic Application Security Testing, DAST)
    • TEST-003 インタラクティブアプリケーションセキュリティテスト (Interactive Application Security Testing, IAST)
    • TEST-004 ペネトレーションテスト (Penetration Testing)
    • TEST-005 セキュリティテストカバレッジ (Security Test Coverage)
  • リリース/デプロイ (Release/Deploy) フェーズ
    • REL-001 成果物署名 (Artifact Signing)
    • REL-002 セキュア成果物管理 (Secure Artifact Management)
    • REL-003 シークレット管理 (Secret Management)
    • REL-004 セキュアコンフィグレーション (Secure Configuration)
    • REL-005 セキュリティポリシーの実施 (Security Policy Enforcement)
    • REL-006 Infrastructure-as-Code (IaC) セキュアデプロイメント (Infrastructure-as-Code (IaC) Secure Deployment)
    • REL-007 コンプライアンススキャン (Compliance Scanning)
    • REL-008 セキュアリリース管理 (Secure Release Management)
  • 運用/監視 (Operate/Monitor) フェーズ
    • OPR-001 環境の堅牢化 (Environment Hardening)
    • OPR-002 アプリケーションの堅牢化 (Application Hardening)
    • OPR-003 環境セキュリティログ記録 (Environment Security Logging)
    • OPR-004 アプリケーションセキュリティログ記録 (Application Security Logging)
    • OPR-005 脆弱性の開示 (Vulnerability Disclosure)
    • OPR-006 証明書管理 (Certificate Management)
    • OPR-007 攻撃対象領域管理 (Attack Surface Management)
Powered by GitBook
On this page
  • 脆弱性の開示 (Vulnerability Disclosure)
  • 概要
  • レベル 0 - 脆弱性開示ポリシーがない
  • レベル 1 - 脆弱性開示ポリシーが存在する
  • レベル 2 - 脆弱性開示はソフトウェアを使用して管理および追跡している
  • レベル 3 - 協調的脆弱性開示プログラムが存在する
  • 注目すべきツール
  • SECURITY.TXT
  • 🙏 クレジット
  1. 運用/監視 (Operate/Monitor) フェーズ

OPR-005 脆弱性の開示 (Vulnerability Disclosure)

脆弱性の開示 (Vulnerability Disclosure)

ID

DSOVS-OPR-005

概要

責任ある開示とはセキュリティ脆弱性をソフトウェアベンダーに報告して、公開される前にその問題に対処する機会を与えることです。

脆弱性が迅速かつ効率的に対処され、潜在的な悪意のある悪用を防ぐことができます。

セキュリティ上の弱点を悪用される前に開発者が積極的に対処できるため、責任ある開示はセキュアなソフトウェア開発にとって重要です。

また、アプリケーションをセキュアに維持することで、潜在的な攻撃からユーザーを保護します。

レベル 0 - 脆弱性開示ポリシーがない

このレベルでのセキュリティ成熟度では、セキュリティ脆弱性を受け取る方法が定義されていません。

レベル 1 - 脆弱性開示ポリシーが存在する

レベル 1 では、製品に責任ある開示ポリシーが定義されており、脆弱性レポートの送信方法に関する明確な指示やスコープの明確な定義が示されています。

通常、これは (security@company.com) などのセキュリティ電子メールであり、内部チームによって手作業で処理されます。

レベル 2 - 脆弱性開示はソフトウェアを使用して管理および追跡している

責任ある脆弱性開示により、外部のセキュリティ研究者はソフトウェアで発見した脆弱性を報告できます。

これらの脆弱性は内部で発見された脆弱性と同じ方法で保存および追跡して、ギャップをすり抜けないようにすることが重要です。

これによりすべての問題が適切に管理され、外部ソースから報告された脆弱性がセキュアソフトウェア開発ライフサイクルに組み込まれるようになります。

課題追跡ソフトウェアでこれらの問題を適切に追跡及び管理することにより、開発者は潜在的なセキュリティ脅威に迅速かつ効率的に対処するようにできます。

これによりアプリケーションがセキュアであり続け、ユーザーが使用しているソフトウェアを信頼できるようになります。

レベル 3 - 協調的脆弱性開示プログラムが存在する

協調的脆弱性開示プログラムはセキュアソフトウェア開発ライフサイクルの成熟に不可欠です。

このプログラムはソフトウェアで発見された脆弱性が迅速かつ効率的に対処されるようにすると同時に、ソフトウェアユーザーと開発者の間の信頼関係を構築するのにも役立ちます。

脆弱性開示のための組織的かつ標準化されたフレームワークを提供することにより、企業はセキュリティへの取り組みを示し、プロセスに関する透明性を提供できます。

さらに、他の組織と連携することで、企業は他の組織の専門知識や知識から利益を得ることができます。これによりすべての脆弱性が適切に管理され、セキュアソフトウェア開発が優先されることが確保されます。

注目すべきツール

⚠️ 免責事項

OWASP の公式プロジェクトは別として、このセクションのツールはその実績のある機能のみに基づいて選択されており、DSOVS プロジェクトリーダーとそれらを保守する作成者やベンダーとの間には他の関係はありません。

security.txt はウェブサイトがセキュリティポリシーを定義する方法を提供します。security.txt ファイルはセキュリティ研究者がセキュリティ問題を報告するための明確なガイドラインを設定します。security.txt は robots.txt と同等ですが、セキュリティ問題のためのものです。

🙏 クレジット

コミュニティへの素晴らしい貢献なしにはこれを実現できませんでした。使用された外部からのインスピレーションに感謝の意を表します。

PreviousOPR-004 アプリケーションセキュリティログ記録 (Application Security Logging)NextOPR-006 証明書管理 (Certificate Management)

Last updated 2 years ago

注目すべきツールの提案がある場合には してください。

💡 ツールを提案
SECURITY.TXT
EdOverflow
Katie Moussouris