Open Web Application Security Project (OWASP)は、アプリケーションのセキュリティの向上を目的とした啓蒙活動を行なうオープンなコミュニティであり、セキュリティに関するさまざまな文書やツールを無料で公開しています。 OWASP Top Ten Projectは、アプリケーションのセキュリティを専門とする企業や個人から集められたデータをもとに選定された、Webアプリケーションの最も危険な 10個の脆弱性を発表するものです。 現在公開されている2021年度版のトップ 10には、次の脆弱性が報告されています。

OWASP Top 10 2021

• A01 : 2021 - アクセス制御の不備
• A02 : 2021 - 暗号化の失敗
• A03 : 2021 - インジェクション
• A04 : 2021 - 安全が確認されない不安な設計
• A05 : 2021 - セキュリティの設定ミス
• A06 : 2021 - 脆弱で古くなったコンポーネント
• A07 : 2021 - 識別と認証の失敗
• A08 : 2021 - ソフトウェアとデータの整合性の不具合
• A09 : 2021 - セキュリティログとモニタリングの失敗
• A10 : 2021 - サーバーサイドリクエストフォージェリ(SSRF)

OWASP の公開する文書は、これらの脆弱性の内容、検証方法および防御策について説明しています。

JtestのOWASP Top 10サポート

Jtestには、これらの脆弱性を検証するための静的解析ルールとコンフィギュレーションがあらかじめ用意されています。

• OWASP Top 10-2021コンフィギュレーション

多くの脆弱性は、セキュリティ ポリシーに基づいて入力データの検証を徹底することで防止できます。Jtestのルール カスタマイズ機能およびルール作成機能は、企業独自のセキュリティ ポリシーを自動的に検証するルールセットの作成を可能にします。また、Parasoft DTPを利用することで、コンプライアンスの順守／逸脱レポートをリアルタイムで参照することができます。

※ セキュリティルールおよびセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。