web-dev-qa-db-ja.com

OWASPトップ10(Webアプリケーション)が2013年から変更されていないのに、モバイルトップ10が2016年と同じであるのはなぜですか?

WebアプリケーションのOWASPトップ10の最新版は2013年で、モバイルアプリケーションの最新版は2016年です。なぜですか。
Webアプリケーションの脆弱性のパターンは解決されたと言えますか?同じことがモバイルベースのアプリケーションにも起こりますか?

web-applicationmobileowaspowasp-top-ten
9
one

遅延の理由は、Web T10にほとんど変更がないためです。として 2015年6月30日にWeb T10プロジェクトリーダーのDave Wichersが発表

AppSec市場の変化のテンポと釣り合うように見えるため、これまで3年ごとに新しいOWASPトップ10を作成してきました。これは、誰もがツール/プロセス/その他のものをOWASPトップ10の各バージョンにマッピングするために行うすべての作業です、それを生産するために必要な努力。 2004年(つまり2007/2010/2013)から3年ごとに新しいものを生産しており、2016年の新しいバージョンが予定されています。 (間違いなく2015年には発生しません)。

しかし、トップ10の2016年のリリースで何が変わるかについて考えてきましたが、実際にはそれほど変化するとは考えていません。収集して処理する必要がある脆弱性の有病率の統計に基づいて、上位10の項目が上下する可能性があると思いますが、新しい脆弱性の種類が上位10に分類されるのではないかと疑っています。

そのため、リストが実際に大幅に変更されることはないと予想されるため、プロジェクトは次の更新を2017リリースに延期することを決定しました。

2013 T10リリースノート のこの表は、小さな変更を示しています。 enter image description here 変更の主な原因は、データの大幅な変更ではなく、生データの分類方法を再考したことです。

T10を作成するための努力のレベルがそれを遅らせる要因であると仮定した人もいます。大変な作業ですが、それが大きな要因だったとは思いません。 Web T10はOWASPの最も認知されたプロジェクトであり、常に多くのボランティアがいます(私は2007年、2010年、2013年のボランティアに貢献しました)。

同じことがモバイルアプリケーションでも発生するかどうかについては、近い将来にはそうなるとは思えません。モバイルテクノロジーはまだ初期段階にあり、急速に変化します。

10
Neil Smithline

OWASPトップ10は2017に更新されました。

私はそれについて The OWASP Top 10:2013 vs. 2017 で書いた。

tldr:

今年は3つの新しいリスクが追加されました:XML外部エンティティ(XXE)、安全でないデシリアライゼーション、および不十分なロギングとモニタリング。

今年のトップ10から2つの項目が削除されました:クロスサイトリクエストフォージェリ(CSRF)と未検証のリダイレクトと転送。

2013レポートからの2つのリスク(安全でない直接オブジェクト参照と欠落している関数レベルのアクセス制御)が1つのリスクにマージされました:壊れたアクセス制御。

3
mattes

彼らは毎年それを更新するのではなく、余暇にボランティアによって行われるので、非常に包括的で多くの作業を必要とするため、更新が遅くなる可能性があります。しかし、彼らは現在、今年それを更新することに取り組んでおり、それに向けてデータを提出することを人々に求めています。

OWASPトップ10プロジェクトは、トップ10を再度更新する取り組みを開始しています。現在のバージョンは2013年にリリースされたので、このアップデートは2016年、またはより可能性の高い2017年のリリースになると予想されます。今回は、オープンデータコールを行っているため、アプリケーションの脆弱性統計の幅広いセットを持つ組織は、プロジェクトにデータを提供できます。プロジェクトがこの提供されたデータをより簡単に利用できるようにするために、Googleフォームを介して提供されるようにリクエストしています。締め切り:2016年7月20日までにデータを提出する必要があります。

OWASP TOP 10サイト 2016年7月13日アクセス

モバイルトップ10が最新の理由は、モバイルセキュリティが現在の状態ではなかった2003/2004年から実行されているOWASP TOP 10プロジェクトと比較して、新しい追加であるためです。

2
Lmnoppy

なぜ更新しないのですか?

確かではありませんが、OWASPコミュニティで2013年からWebのトップ10リストを更新する必要がなかった、またはあまり議論されていなかったと思われます。ニーズが必要なため、(モバイル)セキュリティ業界は、モバイル業界の発展に合わせてより迅速に開発する必要がありました。

OWASPの歴史トップ10

最初のOWASP(ウェブ)トップ10リストは 2003および2004 で公開され、新しいリストが続きました。次に 2007201 および 201 で新しいリストがリリースされました。

2013年に最初のモバイルトップ10が作成され、最終的に 2014 になりました。 2015年に私が知る限り、新しいモバイルトップ10分析のみが行われましたが、最終的なリストにはなりませんでした。さて、あなたが言及したMobile Top 10 2016は現在 リリース候補 ドキュメントです。

開発

Open Web Application Security Project(OWASP)は現在、OWASPトップ10 2016に取り組んでいます。提案は2016年7月20日まで送信できます。出典: owasp.org

2
Bob Ortiz