アプリのセキュ要件やテスト項目まとめた「OWASP ASVS 4.0」の日本語訳

コンピュータソフトウェア協会（CSAJ）は、「OWASPアプリケーションセキュリティ検証標準（Application Security Verification Standard）4.0」の日本語訳を公開した。

同ドキュメントは、OWASPのASVSプロジェクトが、ウェブアプリケーションの設計、開発、脆弱性診断などで必要となるセキュリティ要件の標準を分類、まとめたもの。

「同3.0.1」は2016年に経済産業省の委託事業としてJPCERTコーディネーションセンターが日本語訳を公開しているが、今回最新版となる「同4.0」をCSAJの傘下組織であるSoftware ISACが翻訳した。

「同4.0」では、「NIST 800-63-3」におけるデジタルアイデンティティガイドラインを導入。高度な認証管理について盛り込んだ。また「Common Weakness Enumeration（CWE）」への包括的なマッピングを実施している。

Software ISACでは、脆弱性対応コストに対する理解の促進や、同ドキュメントをウェブアプリケーションを開発する上での検収条件とするため、啓発活動を展開していく。

（Security NEXT - 2020/09/07 ）ツイート