脆弱性診断ツール「OWASP ZAP」の翻訳サイト「Crowdin.net」の使い方

  • 31
    Like
  • 2
    Comment
1473686458 nightyknite
Edited at
12
More than 1 year has passed since last update.

無料で使えるWebアプリケーション脆弱性検査ツールに「OWASP ZAP」がありますが、
日本語化がまだまだ完全には出来ていないです。
日本語化するための手段として、翻訳サイト「Crowdin.net」が採用されています。
これはTwitterなどのアカウントを使用して、誰でもユーザ登録して参加することが出来ます。
この翻訳サイト「Crowdin.net」の使い方について書きたいと思います。

OWASP ZAPについて

OWASP(Open Web Application Security Project)が提供している、WEBサイトの脆弱性を診断するためのぺネトレーションテストツールです。オープンソースで、無料で使用できます。
公式サイト
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
ダウンロード場所
https://github.com/zaproxy/zaproxy/wiki/Downloads
現在、最新版はZAP 2.5.0 Standardです。通常はこれをダウンロードします。
後、プロジェクトは毎週ビルドもされていてこれはZAP Weeklyからダウンロードします。自分が翻訳した結果をいち早く見たい場合は、ZAP Weeklyを使います。

インストール方法については、下記を参考すると良いです。
基本的には最新のJavaがインストールされていれば使えると思います。
http://qiita.com/ionis_h/items/3834f65ad59d8df0eb1c
http://www.lancork.net/2013/08/find-vulnerability-owasp-zap/
FoxyProxyのようなプロキシの切り替えツールを合わせて使うと使いやすいらしいです。
http://qiita.com/nilfigo/items/c8b5e8321e63531640a9

使い方については、上記のサイトや
owasp japanのページに「OWASP ZAP マニュアル」があるのでそれを読むと良いです。このマニュアルさえあれば、別に日本語化しなくてもいいやとも言えなくはないですが。。
https://www.owasp.org/index.php/Japan
https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp6OWdGYzg/
各種用語の日本語の名称などはこのマニュアルを参考にすると良いかなと思います。
例えば、Active Scanは動的スキャン、Passive Scanは静的スキャンと訳されています。

Crowdin.netについて

Crowdin.netは翻訳データを管理するサイトです。OSSだと無料で使えるようです。
以下のサイトに使い方の紹介がのっていました。
http://d.hatena.ne.jp/Kenji_s/20120122/1327200992
翻訳するための支援機能が割と便利で、機械翻訳も比較的ちゃんと訳されていたりします。あと過去に翻訳した単語が候補として上がってくるので便利です。
下記のページでユーザ登録を行います。TwitterやGithubのアカウントでサインインをする事も出来ます。
https://crowdin.com/join

※APIが提供されていて、ファイル一括アップデートも出来るようです。

OWASP ZAP翻訳ページの構成について

OWASP ZAP公式サイトのlanguagesタブの下の方に
You can use Crowdin to help improve these translations or add new ones right now!
のリンクがあります。このリンクからCrowdin.netのOWASP ZAP翻訳ページにとぶ事が出来ます。

OWASP ZAPの翻訳ページは2つあって
OWASP ZAP(ZAPツール本体やYoutubeの字幕など)
https://crowdin.com/project/owasp-zap

OWASP ZAP Help(ZAPのヘルプファイル関連)
https://crowdin.com/project/owasp-zap-help
と別れています。

翻訳グループみたいなのがあって、誰かがレビューしたりチェックしたりはしていないので、基本自分が翻訳したのが大体そのまま反映されてしまうと思います。
※ZAP Weekly版の方には毎週最新の結果が反映されています。
※字幕(Video)については100%翻訳になっていますが、変なところがあって直したい場合は、Ownerのpsiinonさんに連絡してYoutubeにアップしなおしてもらう必要があるかもしれないです。

プロジェクトのページに行くと、言語ごとに旗のマークがあるので、日本の旗をクリックすると、翻訳対象のファイル一覧が出てきます。

OWASP ZAPのプロジェクトだと下記のように別れています。

  1. docs
    • ダウンロードページのGettingStartedGuide.pdfのこと?
  2. extensions
    • 拡張機能について。クイックスタートタブなど標準の機能と思えるものも拡張機能だったりする。
  3. videos
    • Youtubeの字幕
  4. Messages.properties
    • ZAPツール本体
  5. vulnerabilities.xml 
    • 脆弱性のレポート結果内容のようです。

翻訳の進め方について

tran.png

  • 左側の赤い●が未翻訳の文です。緑の●が翻訳済みです。

b.png

  • 中央上に書かれている文章を翻訳します。

c.png

特に日本語訳する必要がなければ、「Copy source」で翻訳エリアに原文を転記することもできます。
Commitを押すと翻訳エリア内の文を登録します。

d.png

サジェストエリア内に機械翻訳(Microsoft Translator)や、別の箇所で翻訳した結果が出てくるので
これを参考にして翻訳します。既に他の人が翻訳していた場合でも、上書きすることが出来ます。以前の翻訳内容はサジェストエリアに履歴が残ります。
proofreaderの場合は、さらに承認(Approved)出来るようですが、あまり使われていないようです。

  • ヘルプページなど長文を翻訳するページの場合はWYSIWYGモードで表示されます。

e.png

既に翻訳済みの文があれば翻訳済みの文章で上書きして表示されます。

原文にかかれている単独の<0/>タグは改行です。囲まれている<1>〜</1>、<2>〜</2>タグは別のページにリンクされている単語です。翻訳した文章にも同じようにタグを設定しないと警告メッセージが出ます。

releasesのリリース内容については下記のリストから探して詳しい内容を見ると訳しやすいかもしれない。
https://github.com/zaproxy/zap-core-help/wiki/HelpReleasesReleases
https://code.google.com/p/zaproxy/issues/list

Edit request
nightyknite
1141contribution

OWASP ZAP Japan Group が出来たみたいです。これで日本語化が進むのかな。
https://groups.google.com/forum/#!forum/owasp-zaproxy-japan
https://twitter.com/YuhoKameda/status/531853544270622721

nightyknite
1141contribution

owasp zap 2.4.0が出たみたい。
http://owasp.blogspot.co.uk/2015/04/owasp-zap-240.html

Report article

Help us understand the problem. What is going on with this item?


Feedback

We don't reply to any feedback.
If you need help with Qiita, please send a support request from here.