OWASP ãã¹ãã£ã³ã°ã¬ã¤ã
OWASP ãã¹ãã£ã³ã°ã¬ã¤ã
OWASP ãã¹ãã£ã³ã°ã¬ã¤ã
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>OWASP</strong> Testing Guide v3.0<br />
ャヨティ 目 的 を 特牐 定 するのに 役 立 ちます8 例 えば、アプヨクーサュヱを 運遀 用 段 階 に 移 行 する 前 に、 脆 弱 性 の 数 を 受 入 れ 可 能<br />
な( 最 小 ' 数 に 減 少 させることが 挙 げられます。<br />
もう1つの 管 理 しやすい 目 標 が、アプヨクーサュヱのスカャヨティプルスシの 改 善 状牮 況 を 評 価 するために、 基 準 に 対 して、アプ<br />
ヨクーサュヱのスカャヨティに 対 する 姿姓 勢 を 比 較 することです。 例 えば、スカャヨティ 測 定 基 準 は、 侵 入 テシトだけでテシトされ<br />
たアプヨクーサュヱから 構 成 されているかもしれません。ケーディヱギ 中 にスカャヨティのテシトを 受 けたアプヨクーサュヱから<br />
得 られたスカャヨティデーソは、 基 準 よりも 改 善 ( 例 えば、より 少 ない 脆 弱 性 の 数 'を 示 すはずです。<br />
伝 統 的 なセフトウェアテシトでは、アプヨクーサュヱに 発 見 されるバギのようなセフトウェア 不 具 合 の 数 は、セフトウェア 品 質 の<br />
基 準 を 提 供 することができました。 同 様 に、スカャヨティテシトはセフトウェアスカャヨティの 基 準 を 提 供 することができます。 不<br />
具 合 管 理 と 報 告 の 視 点 からは、セフトウェア 品 質 とスカャヨティテシトは、 根 本 的 な 原 因 と 不 具 合 改 善 の 努 力 では、 類 似 の 分<br />
類 を 使 うことができます。 根 本 原 因 の 視 点 からは、スカャヨティ 不 具 合 は、 設 計 の 間 遊 い( 例 えば、スカャヨティ 瑕 疵 (かし''、<br />
または、ケーディヱギのバギ( 例 えば、スカャヨティバギ'に 起 因 します。 不 具 合 を 直 すために 必 要 な 努 力 の 視 点 からは、ス<br />
カャヨティと 品 質 双 方 の 不 具 合 は、 修 正 を 組 み 込 むために 必 要 な 開 発 者 の 時 間 と、 修 正 に 必 要 なツーラやヨセーシ、そして<br />
最 後 に、 修 正 を 組 み 込 むためのケシトで 計 測 することができます。<br />
品 質 デーソと 比 較 したときの、スカャヨティテシトデーソの 特牐 色 は、ヨシキを 決 定 するために、 脅 威姕 や、 脆 弱 性 の 暴 露 、 脆 弱 性<br />
によって 提 起 される 潜 在 的 な 影 響 という 用 語 によって 分 類 されることです。スカャヨティのテシトアプヨクーサュヱは、アプヨク<br />
ーサュヱ 対 策 が 許 容 リプラを 満 たすことを 確 認 するために 技 術 的 なヨシキを 管 理 することから 構 成 されています。この 理 由 で、<br />
スカャヨティテシトデーソが SDLC の 間 に 重 要 なタェッキホイヱトにおいては、スカャヨティ 上 のヨシキ 戦 略 を 支 援 する 必 要 があ<br />
ります。 例 えば、セーシケード 解 析 でセーシケードに 発 見 された 脆 弱 性 が 最 初 のヨシキの 測 定 値 を 表 します。このような 脆 弱<br />
性 のヨシキの 測 定 ( 例 えば、 高 、 中 、 低 'は、 暴 露 率狨 と 発 生 可 能 性 の 要 因 を 決 定 することによって 計 算 できます。さらに、 侵 入<br />
テシトによって、 脆 弱 性 を 検 証 できます。スカャヨティテシトで 発 見 された 脆 弱 性 に 関 連連 するヨシキ 計 測 は、ヨシキを 受 容 する<br />
か、 低 減 するか、あるいは、 組 織 の 中 の 異 なったリプラ( 例 えば、 事 業 的 に、または、 技 術 的 に'に 移 転 するかというような、<br />
ヨシキ 管 理 上 の 決 定 を 行 うために、 事 業 の 経 営 者 を 支 援 するものです。<br />
アプヨクーサュヱのスカャヨティに 対 する 姿姓 勢 を 評 価 するとき、 開 発 しているアプヨクーサュヱの 規 模 のような、ある 特牐 定 の 要<br />
因 を 考 慮 に 入 れることが 重 要 です。アプヨクーサュヱの 規 模 が、テシトでアプヨクーサュヱに 発 見 される 問 題 点 の 数 と 関 係 が<br />
あることは、 統 計 的 に 証 明 されています。アプヨクーサュヱの 規 模 を 計 測 する 方 法 の1つは、ケードの 行 数 (LOC'です。 典 型<br />
的 には、セフトウェア 品 質 の 不 具 合 は、 新 規 または 変 更 された 行 の 1000 行 あたり、およそ5 個 から10 個 です[Y21]。1つのテ<br />
シトによって、 全 体 のおよそ 25%の 不 具 合 を 減 少 させられるので、 大 規 模 なアプヨクーサュヱが 小 規 模 なアプヨクーサュヱより<br />
も 頻 繁 にテシトされるのは 論 理 的 であると 言 えます。<br />
SDLC のいくつかのフェージでスカャヨティテシトが 実 施 されるとき、テシトデーソは、 試 験 に 使 用 されるとすぐに 脆 弱 性 を 検<br />
出 することにおいて、スカャヨティテシトの 性 能 を 証 明 しており、SDLC の 異 なったタェッキホイヱトにおいて 対 策 を 実 行 するこ<br />
とによって、 脆 弱 性 を 除 去 したことの 有 効 性 を 証 明 することもできます。この 種 の 測 定 は、「 抑 制 測 定 」と 定 義 され、 開 発 プル<br />
スシのそれぞれのフェージでスカャヨティを 維 持 するため、 各 フェージで 実 施 されたスカャヨティ 評 価 の 測 定 能 力 を 提 供 して<br />
います。これらの 抑 制 測 定 は、 脆 弱 性 の 修 正 ケシトを 低 減 するための 重 要 な 要 因 です。なぜなら、 脆 弱 性 が 発 見 されたとき<br />
よりも 遅逼 いフェージで 修 正 するよりも、 発 見 されたとき(SDLC の 同 じフェージで'に 脆 弱 性 に 対 処 することが 最 も 低 ケシトで 済<br />
むからです。<br />
スカャヨティテシト 計 測 方 法 が、 次 のように、 内 容 が 明 確 で、 時 間 を 含 む 目 標 とともに 用 いると、スカャヨティ 上 のヨシキ、ケシト、<br />
不 具 合 管 理 分 析 を 支 援 することができます。<br />
• 全 体 の 脆 弱 性 の 数 を30% 減 らします。<br />
41
Change language