Web Application Security Scanner Evaluation Criteria

セキュリティ

WASC(Web Application Security Consortium)が新しいプロジェクトを立ち上げるそうです。

The Web Application Security Consortium / Web Application Security Scanner Evaluation Criteria

Webアプリケーションのセキュリティ検査に使用するスキャナを評価する基準を作ろうとするプロジェクトのようです。

PCIDSS(Payment Card Industry Data Security Standard)でもWebアプリケーションの脆弱性検査を行なう事が認証の要件になっていますが、基準があいまいで一部で議論になっていました(例えば以下のブログ)。

Jeremiah Grossman: PCIv1.1 Sec 6.6 clarification leads to more ambiguity

このような問題が、新プロジェクト発足の背景にあるのかもしれません。