Software Bill of Materials ソフトウェアを構成するコンポーネントと依存関係を機械可読に列挙したリスト 主要な標準フォーマット CycloneDX — OWASP 管理。"full-stack Bill of Materials (BOM) standard that provides advanced supply chain capabilities for cyber risk reduction"。VEX / SaaSBOM / CBOM / HBOM / AI-ML BOM など派生 BOM を包含 SPDX — Linux Foundation 管理。ISO/IEC 5962:2021 として国際標準化済 https://cyclonedx.org/ https://spdx.dev/

#Security/Authentication 認証の実装指針をまとめたOWASP Cheat Sheet Series Session Management zxcvbn-ts Pwned Passwords TLS Client Authentication MFA OAuth2 OpenId SAML Brute Force https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html

#Security DoS攻撃の防御戦略をまとめたOWASP Cheat Sheet Series OSIモデルに基づくCERT-EU分類を採用し、3つの攻撃層に分類している Application層：サーバリソースの枯渇またはアプリケーション機能の無効化（Slow HTTP攻撃など） Session/Protocol層：サーバやファイアウォール、ロードバランサーなどのリソース消費 Network/Volumetric層：ネットワーク帯域幅の飽和 主な防御戦略 単一障害点（SPOF）の排除と冗長性確保 グレースフルデグラデーション（部分的機能継続）の実装 入力検証（ファイルサイズ、リクエストサイズの上限設定） セッションタイムアウトの適切な設定 レートリミット（最小入信データレート、接続タイムアウト、帯域幅上限） ISPレベルでのIP偽装フィルタリング CPU集約的操作の回避 例外処理の適切な実装 静的リソースの別ドメイン配置 https://cheatsheetseries.owasp.org/cheatsheets/Denial_of_Service_Cheat_Sheet.html

#Security/Authentication セッション管理の実装指針をまとめたOWASP Cheat Sheet Series HTTP Cookie https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html

#Security OWASP Foundationが発表するセキュリティ専門家によるトップ10に含まれるべき脆弱性リスト 定期的に更新されるため最新を追うべき https://owasp.org/www-project-top-ten/

#Security/Authentication ブルートフォース攻撃を防ぐための対策をまとめたOWASP Communityの記事 主な対策方法 アカウントロックアウト機能（DoS攻撃に悪用されるリスクに注意） Device Cookies（デバイスごとの認証ロック機構、DoS攻撃に対して耐性がある） パスワード検証時の遅延追加 IPアドレスベースのレートリミット CAPTCHAの導入 複数の秘密の質問による認証強化 単一の技術では回避されやすいため、複数の対策を組み合わせることが重要 https://owasp.org/www-community/controls/Blocking_Brute_Force_Attacks

#Security OWASP Incubating Project の開発者向け統合セキュリティプラットフォーム。AGPL-3.0、Go + PostgreSQL 実装 シークレットスキャン / SAST / SCA / IaC / コンテナスキャン / ライセンスチェックを単一 CLI に統合し、サプライチェーン攻撃 対策まで含めて開発ワークフローに組み込む 主な機能 標準準拠スキャナ（Trivy / Grype / Semgrep）の出力を取り込み CVSS + EPSS + component depth に基づくリスク優先順位付け SBOM / VEX のライブ管理、依存パッケージの Dependency Firewall（npm / Go / Python） OPA/Rego によるポリシー強制、GitHub / GitLab / Jira との双方向同期 オープン標準（SBOM / VEX / SARIF / SLSA / in-toto）を中核に据える https://devguard.org/ https://github.com/l3montree-dev/devguard

#Security OWASPが公開する、開発チーム内に「セキュリティ・チャンピオン」を育成・運営するためのガイドブックプロジェクト ベンダーニュートラルなプレイブックとして、プログラム憲章・KPI・教育コンテンツ等のカスタマイズ可能なアーティファクトを提供する 成功のための10原則: Be passionate about security Start with a clear vision for your program Secure management support Nominate a dedicated captain Trust your champions Create a community Promote knowledge sharing Reward responsibility Invest in your champions Anticipate personnel changes https://securitychampions.owasp.org/