OWASP テスティングガイド

OWASP Testing Guide v3.0
フェーズ 3: 開 発 中
理 論 的 には、 開 発 は 詳 細 設 計 の 実 装 です。しかしながら、 現 実 の 世 界 では、ケード 開 発 中 にも、 多 くの 詳 細 設 計 の 判 断 が
下 されます。これらは、 詳 細 設 計 の 段 階 で 記 載 するには 細 かすぎたか、 内 部邪 規 程 や 標 準 にオイドョイヱが 掲 載 されていな
かったものが 多 くあります。もし 基 本 設 計 と 詳 細 設 計 が 適遚 切 でなければ、 開 発 者 は 多 くの 決 定 に 直 面 するでしょう。もし 内 部邪
規 程 や 標 準 が 不 十 分 であれば、 開 発 者 はさらにもっと 多 くの 決 定 に 直 面 するでしょう。
フェーズ 3A: ケーデのウォークスルー
スカャヨティターマは 開 発 者 と 一 緒 に、ときには、サシテマ 設 計 者 とともに、ケードのウェーキシラーを 行 なわわなければなりま
せん。ケードのウェーキシラーは、 開 発 者 が 実 装 されたケードのルザッキと 流 れを 説 明 することができる、 高 水 準 のウェーキシ
ラーです。ケードリビャーターマは、ケードについて 一 般 的 に 理 解 し、 開 発 者 は、ケードの 設 計 理 由 を 説 明 します。
目 的 はケードリビャーを 行 なうことではなくて、 高 いリプラで、アプヨクーサュヱを 構 成 するケードの 流 れや、リイアウト、 構 造造
を 理 解 することです。
フェーズ 3B: ケーデレパャー
テシト 実 施 者 は、ケードがどのように 構 造造 化 されるか、また、ケードがなぜそのようにケーディヱギされたかについて、 十 分 な
理 解 を 持 っているので、 実 際 にケードを 調 査 し、スカャヨティの 不 具 合 を 調 べることができます。
静 的 なケードリビャーによって、タェッキヨシトのスットに 対 してケードを 検 証 します。 次 の 項 目 を 含 みます8
• 可 用 性 、 機 密 性 、 完媍 全 性 についての 事 業 上 の 要 求 事 項 。
• 技 術 的 暴 露 に 対 して OWASP オイドまたはトップ 10 のタェッキヨシト(リビャーの 深 さによる'
• PHP のシォーリットヘーパ、ボイキルセフトの ASP.NET のためのスカャアケーディヱギ・タェッキヨシトのような、 使 用 し
ている 言 語 またはフリーマワローキ( 枠 組 み'に 関 係 する 特牐 定 の 問 題 点
• コープヱシ・エッキシリイ 法 404、COPPA、ISO/IEC 27001、APRA、HIPAA、Visa ボータメヱトオイドョイヱ、あるいは 他
の 規 制 上 の 体 制 のような、すべての 業 界 に 特牐 有 の 要 求 事 項
投 資 されたヨセーシ( 主 として 時 間 'のヨソーヱとしては、 静 的 なケードリビャーが 他 のいかなるスカャヨティリビャー 方 法 よりも
はるかに 質 が 高 い 収 益 を 産 み 出 し、しかも、リビャー 実 施 者 のシカラにほとんど 依 存 しません。しかし、( 狼犒 男 を 一 発 で 撃 退
するような' 銀 の 弾 丸 ではなく、テシト 体 制 全 体 の 中 で 考 慮 する 必 要 があります。
OWASP のタェッキヨシトの 詳 細 については、OWASP Guide for Secure Web Applications、あるいは OWASP Top 10 の 最 新 爮
に 言 及 してください。
49