OWASP

Versiunea actuală a paginii nu a fost încă revizuită de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită pe 22 aprilie 2018; verificările necesită 7 modificări .

Proiectul de securitate pentru aplicații web deschise (OWASP) este un proiect de securitate pentru aplicații web cu sursă deschisă .

Comunitatea OWASP include corporații, organizații educaționale și persoane din întreaga lume. Comunitatea lucrează pentru a crea articole, tutoriale, documentație, instrumente și tehnologii care sunt disponibile gratuit.

Fundația OWASP este o organizație 501(c)(3) organizație caritabilă care sprijină și gestionează proiectele și infrastructura OWASP. În plus, Fundația este înregistrată ca organizație non-profit în Europa din iunie 2011.

OWASP nu este afiliat cu nicio companie de tehnologie, dar sprijină utilizarea inteligentă a tehnologiilor de securitate. Proiectul evită afilierea deoarece consideră că libertatea de influență din partea altor organizații poate facilita diseminarea informațiilor imparțiale, utile și ieftine de securitate a aplicațiilor.

Membrii comunității OWASP fac aplicațiile mai sigure, având în vedere factorul uman și nivelul tehnologic.

Cele mai solicitate documente publicate de OWASP includ: Ghidul OWASP [1] , Ghidul de revizuire a codului OWASP [2] și larg utilizat OWASP Top 10 Draft [3] .

Cele mai comune instrumente OWASP sunt mediul de antrenament [4] , analizorul proxy WebScarab [5] și instrumentele .NET [6] . OWASP este alcătuit din aproximativ 190 de capitole locale [7] din întreaga lume și mii de colaboratori pe listele de corespondență ale proiectului.

OWASP a găzduit seria AppSec [8] pentru a construi în continuare comunitatea de securitate a aplicațiilor.

OWASP creează standarde, primul dintre care a fost publicat sub numele OWASP Application Security Verification Standard (ASVS)). [9] Scopul principal al OWASP ASVS este de a standardiza domeniul de aplicare și nivelul de rigoare al aplicațiilor de securitate disponibile pe piață. Scopul OWASP ASVS a fost, de asemenea, să creeze un set de standarde deschise de succes comercial, adaptate tehnologiilor web specializate. Colecția de aplicații web a fost deja publicată. Colecție pentru Web Services în curs de dezvoltare.

Proiecte

Proiectele OWASP sunt un set de sarcini conexe care au un plan de dezvoltare specific și o echipă de dezvoltare.

Liderii de proiect OWASP sunt responsabili de definirea imaginii, schemei și obiectivelor proiectului, precum și de promovarea proiectului și de recrutarea echipei. În prezent, există peste 130 de proiecte OWASP active, iar numărul acestor proiecte crește săptămânal. Proiectele sunt una dintre cele mai populare divizii ale OWASP, deoarece le oferă activiștilor libertatea de a testa diferite teorii și idei cu sprijinul profesionist din partea comunității OWASP.

Tot ceea ce este creat de OWASP: instrumente, documentație și biblioteci de coduri este împărțit în următoarele categorii.

Apărările sunt instrumentele și documentația care pot fi folosite pentru a se apăra împotriva atacurilor și a exploatării defectelor sistemelor.

Detectarea reprezintă instrumentele și documentația care pot fi utilizate pentru a detecta atacurile și defecte în sisteme.

Ciclul reprezintă instrumentele și documentația care pot fi utilizate pentru a adăuga lucrări legate de securitate la ciclul de viață al software-ului .

Unele dintre proiectele OWASP

Standardul de verificare a securității aplicațiilor (ASVS) OWASP este un standard pentru efectuarea auditurilor de securitate a aplicațiilor.
Ghidul de dezvoltare OWASP oferă sfaturi practice și include exemple de cod în J2EE, ASP.NET și PHP . Revizuit în mare parte în 2014, Ghidul de dezvoltare acoperă o gamă largă de probleme de securitate la nivelul aplicației, de la injecția SQL până la probleme moderne, cum ar fi phishing , procesarea cardurilor de credit, remedierea sesiunilor, falsificarea cererilor pe mai multe site-uri , consecvență și confidențialitate.
Ghidul de testare OWASP include un cadru de testare a pătrunderii „cele mai bune practici” pe care utilizatorii îl pot folosi în organizațiile lor și un ghid de testare a pătrunderii „la nivel scăzut” care descrie tehnici de testare a celor mai frecvente probleme de securitate în aplicațiile web și serviciile web.
Ghidul de revizuire a codului OWASP Versiunea 1.1 este a doua cea mai vândută publicație tipărită lansată de OWASP în 2008. În același timp, versiunea 1.0 a strâns deja o mulțime de feedback pozitiv și a devenit unul dintre produsele cheie care permit OWASP să facă față problemelor de securitate software.
Proiectul OWASP ZAP : Z-Attack Proxy este un instrument de testare încorporat ușor de utilizat pentru a găsi vulnerabilități ale aplicațiilor web. Este conceput pentru a fi folosit de persoane cu o gamă largă de medii de securitate și este un etalon pentru dezvoltatori și testeri de caracteristici care nu au experiență în testarea de penetrare.
OWASP Top 10 : Scopul proiectului Top 10 este de a crește gradul de conștientizare a securității aplicațiilor prin identificarea celor mai critice riscuri care amenință organizațiile. Proiectul Top 10 este referit de multe standarde , instrumente și organizații, inclusiv MITRE, PCI DSS , DISA, FTC și multe altele.
Modelul de completare a software-ului OWASP : Acest proiect urmărește să ofere un cadru util pentru a ajuta organizațiile să formuleze și să implementeze o strategie de securitate a aplicațiilor, având în vedere riscurile specifice de afaceri cu care se confruntă o organizație.
Webgoat este o aplicație web de neîncredere creată de OWASP ca ghid pentru scrierea codului securizat. Aplicația vine cu un manual și un set de diverse cursuri care îi învață pe studenți cum să folosească informații despre vulnerabilități pentru a scrie cod securizat.
OWASP Mantra Security Framework : O colecție de instrumente de hacking , extensii și scripturi bazate pe Mozilla Firefox .
Multe alte instrumente și aplicații de securitate sunt disponibile în structura proiectului OWASP .

Istorie

OWASP a fost fondată la 9 septembrie 2001 de Mark Kerfi și Dennis Groves. De la sfârșitul anului 2003, Jeff Williams a fost președinte de voluntari OWASP până în septembrie 2011. Actualul președinte este Michael Coates, iar vicepreședintele este Eoin Kiri . Fundația OWASP, o organizație 501(c)(3) (în SUA) a fost înființată în 2004 și sprijină proiectele și infrastructura OWASP. OWASP servește nu obiectivelor personale ale liderilor săi, ci diseminarea cunoștințelor.

Liderii OWASP sunt responsabili pentru luarea deciziilor cu privire la direcția tehnică, prioritățile proiectului, calendarele și lansările de produse.

În general, liderii OWASP pot fi percepuți ca conducerea Fundației OWASP.

OWASP angajează oficial 8 persoane, ceea ce înseamnă că proiectul are costuri extrem de mici acoperite de conferințe, sponsori corporativi și publicitate. OWASP acordă granturi anuale membrilor corporativi și individuali pentru dezvoltarea de aplicații de securitate promițătoare.

Din 2011, OWASP este înregistrată ca organizație non-profit în Belgia sub numele OWASP Europe VZW.

Premii

2014 - SC Magazine Premii [10] .

Vezi și

Note