개인정보보호, 소프트웨어 정책
2017년 가장 위험한 웹 애플리케이션 보안 위험 10가지
안전하지 않은 소프트웨어는 금융, 의료, 국방, 에너지, 기타 중요한 기반 시설을 약화시키고 있습니다. 소프트웨어가 점점 더 중요해지고, 복잡해지고, 연결되어 있을수록 애플리케이션 보안을 달성하기는 더더욱 기하급수적으로 어려워질 것입니다. 현대 소프트웨어 개발 프로세스가 빠르게 진화하면서 위험을 신속하고 정확하게 발견하는 것이 중요합니다. 우리는 더 이상 OWASP TOP 10에서 제시된 것과 같은 상대적으로 간단한 보안 문제를 더이상 용납할 수 없습니다.
OWASP Top 10 – 2017 제작 기간 동안 다른 동등한 OWASP 노력보다 더 많은 의견이 접수되었습니다. 이것은 OWASP가 OWASP Top 10에 대해 얼마나 열정을 갖고 있는지, 그리고 OWASP가 대부분의 사용 사례에 대해 Top 10을 차지하는 것이 얼마나 중요한지를 보여줍니다.
OWASP Top 10 프로젝트의 원래 목표는 단순히 개발자와 관리자의 인식을 높이는 것이었지만, 사실상 애플리케이션 보안의 업계 표준이 되었습니다.
이번 판에서는, 애플리케이션 보안 프로그램에서 OWASP Top 10을 채택할 수 있도록 지원하는 문제 및 권장 사항이 간결하게 작성되어 있습니다. 확실한 표준이 필요한 경우, 크고 성과가 뛰어난 조직에서는 OWASP 애플리케이션 보안 검증 표준(ASVS)을 사용하는 것이 좋습니다. 하지만 대부분의 경우 OWASP Top 10은 애플리케이션 보안 여행을 시작하기에 가장 좋은 방법입니다.
우리는 개발자를 위한 다음 단계, 보안 테스터를 위한 다음 단계, CIO 및 CISO에게 적합한 조직을 위한 다음 단계, 그리고 애플리케이션 관리자 또는 애플리케이션의 수명주기 책임자에게 적합한 애플리케이션 관리자를 위한 다음 단계 등 OWASP Top 10을 사용하는 다양한 사용자들을 위한 다음 단계를 제안했습니다.
장기적으로, 우리는 모든 소프트웨어 개발팀과 조직이 귀하의 문화 및 기술과 호환되는 보안 프로그램을 개발할 것을 권장합니다. 이러한 프로그램은 모든 형태와 크기로 이루어져 있습니다. 조직의 기존 강점을 활용하고 소프트웨어 보증 성숙도 모델을 사용하여 귀사의 애플리케이션 보안 프로그램을 측정하고 개선하십시오.
OWASP Top 10이 귀하의 애플리케이션 보안에 도움이 되길 희망합니다. 질문, 의견, 아이디어가 있다면, GitHub 프로젝트 저장소를 통해 OWASP에 주저하지 말고 연락 주시기 바랍니다:
• 다음에서 OWASP Top 10 프로젝트 및 번역문 을 찾을 수 있습니다:
2017년 주요 업데이트는 커뮤니티에서 선택한 두 가지 이슈(A8:2017-안전하지 않은 역직렬화와 A10:2017-불충분한 로깅 및 모니터링)를 포함하여 몇 가지 새로운 이슈를 추가했습니다. 이전의 OWASP Top 10 판과 두 가지 주요 차이점은 실질적인 커뮤니티 피드백과 수십 개의 조직에서 수집한 광범위한 데이터(애플리케이션 보안 표준 준비 과정에서 가장 많은 양의 데이터가 수집되었을 가능성이 있는 데이터)입니다. 이는 새로운 OWASP Top 10이 현재 조직이 직면하고 있는 가장 영향력 있는 애플리케이션 보안 위험을 해결한다는 확신을 줍니다. OWASP Top 10 – 2017은 주로 애플리케이션 보안을 전문으로 하는 회사에서 제출한 40개 이상의 데이터와 500명 이상의 사람들이 완료한 업계 설문 조사를 기반으로 합니다. 이 데이터는 수 백 개의 조직과 10만 개가 넘는 실제 애플리케이션 및 API에서 수집된 취약점을 포괄합니다. Top 10의 항목은 공격 가능성, 탐지 가능성 및 영향도를 햡의 추정한 값으로 보정한 널리 퍼진 데이터에 따라 선별되고 순위가 정해졌습니다. OWASP Top 10의 목표는 개발자, 디자이너, 설계자, 관리자 및 조직에게 가장 중요한 웹 애플리케이션 보안 취약점에 대한 영향을 교육하기 위해서입니다. 이 상위 10가지는 이러한 고위험의 문제로부터 보호하고 향후 지침을 제공하기 위한 기본 기술을 제공합니다
붙임자료