📗
owasp-devsecops-verification-standard-ja
  • OWASP DevSecOps Verification Standard (DSOVS) ja
  • OWASP DevSecOps 検証標準 日本語版
    • OWASP DevSecOps 検証標準
    • リーダー
  • 組織 (Organisation) フェーズ
    • ORG-001 リスク評価 (Risk Assessment)
    • ORG-002 セキュリティトレーニング (Security Training)
    • ORG-003 セキュリティ担当者 (Security Champion)
    • ORG-004 セキュリティレポート (Security Reporting)
  • 要件 (Requirements) フェーズ
    • REQ-001 セキュリティポリシーと規制遵守 (Security Policy and Regulatory Compliance)
    • REQ-002 セキュリティ要件と標準 (Security Requirements and Standards)
    • REQ-003 セキュリティユーザーストーリーと受け入れ基準 (Security User Stories and Acceptance Criterias)
    • REQ-004 セキュリティ課題の追跡 (Security Issues Tracking)
  • 設計 (Design) フェーズ
    • DES-001 セキュリティアーキテクチャ設計レビュー (Security Architecture Design Reviews)
    • DES-002 脅威モデリング (Threat Modelling)
  • コード/ビルド (Code/Build) フェーズ
    • CODE-001 セキュア開発環境 (Secure Development Environment)
    • CODE-002 ハードコードされたシークレットの検出 (Hardcoded Secrets Detection)
    • CODE-003 手動セキュアコードレビュー (Manual Secure Code Review)
    • CODE-004 静的アプリケーションセキュリティテスト (Static Application Security Testing, SAST)
    • CODE-005 ソフトウェアコンポジション解析 (Software Composition Analysis, SCA)
    • CODE-006 ソフトウェアライセンスコンプライアンス (Software License Compliance)
    • CODE-007 インライン IDE セキュアコード解析 (Inline IDE Secure Code Analysis)
    • CODE-008 コンテナセキュリティスキャン (Container Security Scanning)
    • CODE-009 セキュア依存関係管理 (Secure Dependency Management)
  • テスト (Test) フェーズ
    • TEST-001 セキュリティテスト管理 (Security Test Management)
    • TEST-002 動的アプリケーションセキュリティテスト (Dynamic Application Security Testing, DAST)
    • TEST-003 インタラクティブアプリケーションセキュリティテスト (Interactive Application Security Testing, IAST)
    • TEST-004 ペネトレーションテスト (Penetration Testing)
    • TEST-005 セキュリティテストカバレッジ (Security Test Coverage)
  • リリース/デプロイ (Release/Deploy) フェーズ
    • REL-001 成果物署名 (Artifact Signing)
    • REL-002 セキュア成果物管理 (Secure Artifact Management)
    • REL-003 シークレット管理 (Secret Management)
    • REL-004 セキュアコンフィグレーション (Secure Configuration)
    • REL-005 セキュリティポリシーの実施 (Security Policy Enforcement)
    • REL-006 Infrastructure-as-Code (IaC) セキュアデプロイメント (Infrastructure-as-Code (IaC) Secure Deployment)
    • REL-007 コンプライアンススキャン (Compliance Scanning)
    • REL-008 セキュアリリース管理 (Secure Release Management)
  • 運用/監視 (Operate/Monitor) フェーズ
    • OPR-001 環境の堅牢化 (Environment Hardening)
    • OPR-002 アプリケーションの堅牢化 (Application Hardening)
    • OPR-003 環境セキュリティログ記録 (Environment Security Logging)
    • OPR-004 アプリケーションセキュリティログ記録 (Application Security Logging)
    • OPR-005 脆弱性の開示 (Vulnerability Disclosure)
    • OPR-006 証明書管理 (Certificate Management)
    • OPR-007 攻撃対象領域管理 (Attack Surface Management)
Powered by GitBook
On this page
  • 概要
  • レベル 0 - 業界のセキュリティ標準や技術的なベストプラクティスに準拠していることを確認するための定期的な監査を実施していない
  • レベル 1 - 業界のセキュリティ標準や技術的なベストプラクティスに準拠していることを確認するための定期的な監査を実施している
  • レベル 2 - 業界のセキュリティ標準や技術的なベストプラクティスに準拠していることを確認するためのリアルタイム検証を実施している
  • レベル 3 - 適用可能な標準やベストプラクティスを実施し、定期的なレビュースケジュールを定めている
  • 参考情報
  1. 要件 (Requirements) フェーズ

REQ-002 セキュリティ要件と標準 (Security Requirements and Standards)

ID

DSOVS-REQ-002

概要

アプリケーションセキュリティ要件と標準はアプリケーションやシステムのセキュリティを確保するための一連のプロトコルとプロセスです。

これにはセキュアソフトウェア開発の原則とベストプラクティスの実装、およびユーザー認証、アプリケーションセキュリティ、データ暗号化、その他のセキュリティコントロールを確保するためのアクセスコントロール対策の配備が含まれます。

アプリケーションセキュリティ要件と標準はアプリケーションが攻撃に対してセキュアで耐性があることを保証し、法律および規制要件への遵守を確保するのにも役立ちます。

DevSecOps 環境では、アプリケーションがセキュアに開発され、安全にデプロイされ、長期にわたりセキュアであることを維持することを支援するにより、アプリケーションセキュリティ要件と標準は重要な役割を果たします。

レベル 0 - 業界のセキュリティ標準や技術的なベストプラクティスに準拠していることを確認するための定期的な監査を実施していない

lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum

レベル 1 - 業界のセキュリティ標準や技術的なベストプラクティスに準拠していることを確認するための定期的な監査を実施している

lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum

レベル 2 - 業界のセキュリティ標準や技術的なベストプラクティスに準拠していることを確認するためのリアルタイム検証を実施している

lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum

レベル 3 - 適用可能な標準やベストプラクティスを実施し、定期的なレビュースケジュールを定めている

lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum

参考情報

PreviousREQ-001 セキュリティポリシーと規制遵守 (Security Policy and Regulatory Compliance)NextREQ-003 セキュリティユーザーストーリーと受け入れ基準 (Security User Stories and Acceptance Criterias)

Last updated 2 years ago