弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。

今回は、以前に公開した OWASP ASVSの紹介 の補足として、 同じくOWASPが公開しているOWASP Top10との違いについて紹介していきます。ASVSについての概要はこの記事内でも触れておりますが、必要に応じて以前の記事をご参照ください。

https://qiita.com/AeyeScan/items/792fd8e576ff8a7ee032

記事の内容の一部を抜粋してご紹介いたします。

OWASP Top10とASVSはそれぞれどのような用途が適切か

ユースケース毎の比較内容から、以下のような使い分けを提案しております。

OWASP Top10

• セキュリティに不慣れな開発者への意識向上, 啓蒙活動の教材
• 開発組織にセキュリティ観点のレビューを導入するためのごく初期のチェックリスト
• 最新の動向の参考資料
  

OWASP ASVS

• Webサービス開発時のチェックリスト
• ベストプラクティス集としてトレーニングの教材などに活用

Webサービスの開発を意識して作られたOWASP ASVSの方が幅広い範囲をサポートしているため、開発時のチーム内スタンダードを作りたい方やセキュアコーディングに利用できるチェックリストを探している方には、OWASP ASVSの採用を推奨します。

AeyeScanではASVSのレベル1の範囲のうち、7章を除く12章101項目を自動で確認可能ですので、ASVSを採用したいけれどハードルが高いなと感じられた方は、ぜひ弊社までご相談ください！

AeyeScanのトライアル、脆弱性診断の自動化のご相談はこちら