OWASP セキュリティ定性メトリクス

「OWASP セキュリティ定性メトリクスプロジェクト」とは

このプロジェクトの焦点は OWASP アプリケーションセキュリティ検証標準 (OWASP ASVS) 要件リストに関連する大規模／中規模のエンタープライズウェブアプリケーション製作プロセスのための再現可能な機能を見つけることです。 Java 言語と開発フレームワークのドメイン分析および大量の技術文書の調査などの徹底した作業の結果として、6 つのカテゴリの下で、230 のセキュリティ定性メトリクスが発見されました。これらのセキュリティ定性メトリクスはセキュリティアナリストだけでなく、設計者、開発者、テスト担当者などの他の関係者にとっても有益です。調査結果は開発者／設計者の観点を提供し、環境セットアップ、テクノロジの選択、アーキテクチャ、設計、および実装の詳細に関連するより良い決定を下すのに役立ちます。セキュリティ定性メトリクスを使用した結果として、ウェブアプリケーションの全体的な脆弱性レベルが大幅に低下し、ユーザーは OWASP アプリケーション検証標準 (OWASP ASVS) を満たすレベルを知ることができます。

OWASP セキュリティ定性メトリクスの使い方

これらの分類された調査結果は分析、設計、実装、およびテストを含むアプリケーション開発の初期フェーズから有益です。このカテゴリ分けされたセキュリティ定性メトリクスをもつことで、プロジェクトに対するセキュリティステータスと OWASP 準拠の結果を知ることができ、さまざまなプロジェクト利害関係者によるより良いテクノロジ、環境、設計、および実装関連の決定を行うのに役立ちます。このメトリクス SECURITY QUALITATIVE METRICS.md の使用を開始します。

背景と方法論

メトリクスリストの作成時に、OWASP ドキュメントとともに技術ドキュメントの大規模なリストを調査しています。これらの取り組みと並行して、ドメイン情報を提供するために大規模なエンタープライズソフトウェア開発プロジェクトからのデータを使用しています。詳細については方法論と背景ページ METHODOLOGY AND BACKGROUND.md を参照してください。

トラブルシューティング

このプロジェクトのアウトプットのいずれかを理解または使用するためにヘルプが必要な場合は、FAQ.md を確認するか、具体的な問題を投稿してください。 または公式の Gitter チャット で質問してください。

問題を見つけましたか？新しいメトリクスを提案しますか？チャット にアイデアを投稿してください！ 詳しくは CONTRIBUTING.md をご覧ください。

参考情報

このプロジェクトに関連するオリジナルの出版物と対応するプレゼンテーション、およびこのプロジェクトの他の参照ドキュメント／プロジェクトを見たい場合には、参考情報ページ REFERENCES.md を確認してください。

寄稿者

• Dr. Ferda Özdemir Sönmez は OWASP セキュリティ定性メトリクスの V 1.0.0 を用意しました。他の寄稿者／支援者については CONTRIBUTING.md を確認してください。

• 寄稿する準備はできましたか？ OWASP セキュリティ定性メトリクスはコミュニティ主導の取り組みを望んでおり、寄稿およびフィードバックを歓迎します。 このプロジェクトに寄稿したい場合は、電子メールまたは公式の Gitter チャットルーム からプロジェクトリーダーに連絡して、例えば、メトリクスを使用してフィードバックやケーススタディレポートを提供したり、新しい関連するメトリクスを提供します。