はじめに
Last updated
OWASP Thick Client Application Security Verification Standard (TASVS) プロジェクトはシッククライアントアプリケーションを安全にするためのオープンスタンダードを確立することを目的としています。このプロジェクトは、技術的なアプリケーションセキュリティコントロールを設計、構築、テストするための包括的な枠組みを提供します。
TASVS プロジェクトはウェブアプリケーションのための と の間のギャップを埋めます。MASVS はシッククライアントのテストに適用できますが、理想的な適合ではありません。TASVS プロジェクトはこれらのシナリオに適した標準を作成することを目指しています。
このプロジェクトは主に一人のプロジェクトリーダー によって管理されています。なお、彼は Bentley Systems のアクティブな AppSec チームである 、、、 などから多大な支援を受けています。
このプロジェクトは OWASP コミュニティと OWASP 財団からも支援を受けています。特に、プロジェクトのディレクターとしてサポートしてくれた に感謝します。
使用に適した最初の公開バージョンは 2024 年 9 月にリリースされました。このプロジェクトは標準を改良し、コンテンツをさらに追加している最中です。
私たちが成熟していくにつれて、ロードマップをより構造化したものにしたいと考えています。ほとんどの活動と同様に、 が完了させた作業によって、その構造を見つけることができるでしょう。
utils\Convert-TASVS-Excel ディレクトリには、Excel テンプレートに TASVS チェックリストを入力するために使用できるスクリプトがあります。これは実用的な方法で標準を適用するための便利なツールです。まだ完全にリリースできる状態ではありませんが、いざというときに使用できます。時間をかけて更新するように努めますが、今のところは TASVS_v1.6.xlsx のような名前の Excel ファイルを入手してください。
このプロジェクトでは以下の作業を手伝ってくれる貢献者を募集しています。
このプロジェクトについて広く知らせること。他に何もすることがなければ、このプロジェクトをあなたのネットワークで共有してください。
現在の標準をレビューし、フィードバックを提供します。
新しい管理目標を作成します。
既存のコントロールグループの定義を更新します。特に以下のものを更新します。
コード例から恩恵を受ける可能性があるもの
この分野の若手やセキュリティ経験の浅い開発者がより理解しやすいように、より簡単な言葉でさらに詳しく説明できるもの
要件は以下の目的を念頭に置いて作成されています。これらはウェブ ASVS プロジェクト https://github.com/OWASP/ASVS/blob/master/README.md#standard-objectives から引用されています。
組織が高品質のセキュアコーディング標準を採用または適応することを支援します。
アーキテクトと開発者がセキュリティを設計および構築し、テストを実装する単体テストと統合テストを使用してセキュリティが適切で効果的であることを検証することで、安全なソフトウェアを構築することを支援します。
セキュリティレビュー担当者がハイブリッドコードレビュー、セキュアコードレビュー、ピアコードレビュー、レトロスペクティブに包括的で一貫性のある高品質の標準を使用し、開発者と協力してセキュリティ単体テストと統合テストを構築することを支援します。この標準をレベル 1 のペネトレーションテストに使用することも可能です。
OWASP Thick Client Application Security Verification Standard (TASVS) プロジェクトは、プロジェクトへの支援と献身について以下の貢献者の方々に感謝の意を表します。
プロジェクトコンテンツ全体は [Creative Commons Attribution-ShareAlike 4.0 International License][cc-by-sa] の下にあります。
いくつかの関連プロジェクトを紹介します。
自分のプロジェクトをここに掲載したい場合には、issue を開いてください。
貢献に興味がある場合は、 と をご確認ください。