OWASP

Open Web Application Security Project (OWASP) je open source projekt zabezpečení webových aplikací .

Komunita OWASP zahrnuje korporace, vzdělávací organizace a jednotlivce z celého světa. Komunita pracuje na vytváření článků, návodů, dokumentace, nástrojů a technologií, které jsou volně dostupné.

OWASP Foundation je 501(c)(3) organizace charitativní organizace , která podporuje a spravuje projekty a infrastrukturu OWASP. Nadace je navíc od června 2011 registrována jako nezisková organizace v Evropě.

OWASP není spojen s žádnou technologickou společností, ale podporuje chytré využívání bezpečnostních technologií. Projekt se vyhýbá přidružení, protože věří, že osvobození od vlivu jiných organizací může usnadnit šíření nestranných, užitečných a levných informací o zabezpečení aplikací.

Členové komunity OWASP dělají aplikace bezpečnější s ohledem na lidský faktor a technologickou úroveň.

Mezi nejžádanější dokumenty publikované OWASP patří: The OWASP Guide [1] , The OWASP Code Review Guide [2] a široce používaný OWASP Top 10 Draft [3] .

Nejběžnějšími nástroji OWASP jsou školicí prostředí [4] , proxy analyzátor WebScarab [5] a nástroje .NET [6] . OWASP se skládá z přibližně 190 místních poboček [7] po celém světě a tisíců přispěvatelů na mailing listech projektu.

OWASP hostil řadu AppSec [8] za účelem dalšího budování komunity zabezpečení aplikací.

OWASP vytváří standardy, z nichž první byl publikován pod názvem OWASP Application Security Verification Standard (ASVS)). [9] Primárním cílem OWASP ASVS je standardizovat rozsah a úroveň přísnosti bezpečnostních aplikací dostupných na trhu. Cílem OWASP ASVS bylo také vytvořit sadu komerčně úspěšných otevřených standardů šitých na míru specializovaným webovým technologiím. Kolekce webových aplikací již byla publikována. Kolekce pro webové služby ve vývoji.

Projekty

Projekty OWASP  jsou souborem souvisejících úkolů, které mají konkrétní plán rozvoje a vývojový tým.

Vedoucí projektu OWASP jsou zodpovědní za definování image, schématu a cílů projektu, stejně jako za propagaci projektu a nábor týmu. V současnosti je aktivních více než 130 projektů OWASP a počet těchto projektů na týdenní bázi roste. Projekty jsou jednou z nejoblíbenějších divizí OWASP, protože dávají aktivistům svobodu testovat různé teorie a nápady s profesionální podporou komunity OWASP.

Vše vytvořené OWASP: nástroje, dokumentace a knihovny kódů je rozděleno do následujících kategorií.

Obrana jsou nástroje a dokumentace, které lze použít k obraně proti útokům a zneužití systémových nedostatků.

Detekce jsou nástroje a dokumentace, které lze použít k detekci útoků a nedostatků v systémech.

Cyklus jsou nástroje a dokumentace, které lze použít k přidání práce související se zabezpečením do životního cyklu softwaru .

Některé z projektů OWASP

• OWASP Application Security Verification Standard (ASVS)  je standard pro provádění auditů zabezpečení aplikací.
• OWASP Development Guide poskytuje praktické rady a obsahuje příklady kódu v J2EE, ASP.NET a PHP . Příručka pro vývoj, která byla v roce 2014 převážně revidována, pokrývá širokou škálu bezpečnostních problémů aplikační vrstvy, od vkládání SQL po moderní problémy, jako je phishing , zpracování kreditních karet, oprava relací, padělání požadavků mezi weby , konzistence a soukromí.
• OWASP Testing Guide obsahuje rámec pro penetrační testování „osvědčených postupů“ , který mohou uživatelé používat ve svých organizacích, a příručku pro testování penetrace „nízké úrovně“, která popisuje techniky testování nejběžnějších bezpečnostních problémů ve webových aplikacích a webových službách.
• OWASP verze 1.1 Code Review Guide je druhou nejprodávanější tištěnou publikací vydanou OWASP v roce 2008. Verze 1.0 přitom již nasbírala mnoho pozitivních ohlasů a stala se jedním z klíčových produktů, které umožňují OWASP řešit problémy se zabezpečením softwaru.
• Projekt OWASP ZAP : Z-Attack Proxy je snadno použitelný vestavěný nástroj pro testování penetrace pro vyhledávání zranitelností webových aplikací. Je navržen tak, aby jej mohli používat lidé se širokou škálou bezpečnostních zkušeností, a je měřítkem pro vývojáře a testery funkcí, kteří nemají zkušenosti s penetračním testováním.
• OWASP Top 10 : Cílem projektu Top 10 je zvýšit povědomí o zabezpečení aplikací identifikací nejkritičtějších rizik, která ohrožují organizace. Na projekt Top 10 odkazuje mnoho standardů , nástrojů a organizací, včetně MITER, PCI DSS , DISA, FTC a mnoha dalších.
• Model úplnosti softwaru OWASP : Tento projekt se snaží poskytnout užitečný rámec, který organizacím pomůže formulovat a implementovat strategii zabezpečení aplikací s ohledem na konkrétní obchodní rizika, kterým organizace čelí.
• Webgoat je notoricky známá nedůvěryhodná webová aplikace vytvořená OWASP jako průvodce psaním zabezpečeného kódu. Aplikace je dodávána s učebnicí a sadou různých kurzů, které učí studenty, jak používat informace o zranitelnostech k psaní bezpečného kódu.
• OWASP Mantra Security Framework : Kolekce hackerských nástrojů , rozšíření a skriptů založených na Mozilla Firefox .
• Ve struktuře projektu OWASP je k dispozici mnoho dalších bezpečnostních nástrojů a aplikací .

Historie

OWASP byla založena 9. září 2001 Markem Kerfim a Dennisem Grovesem. Od konce roku 2003, Jeff Williams sloužil jako OWASP Volunteer Chair až do září 2011. Současným předsedou je Michael Coates a místopředsedou Eoin Kiri . Nadace OWASP, organizace 501(c)(3) (v USA) byla založena v roce 2004 a podporuje projekty a infrastrukturu OWASP. OWASP neslouží osobním cílům svých vůdců, ale šíření znalostí.

Vedoucí OWASP jsou zodpovědní za rozhodování o technickém směru, prioritách projektu, harmonogramech a vydáních produktů.

Obecně lze vůdce OWASP vnímat jako vedení nadace OWASP.

OWASP oficiálně zaměstnává 8 lidí, což znamená, že projekt má extrémně nízké náklady pokryté konferencemi, firemními sponzory a reklamou. OWASP uděluje roční granty firemním i individuálním členům za vývoj slibných bezpečnostních aplikací.

Od roku 2011 je OWASP registrována jako nezisková organizace v Belgii pod názvem OWASP Europe VZW.

Ocenění

• 2014 - SC Magazine Awards [10] .

Viz také

• Počítačová bezpečnost
• Kali Linux
• bezpečnostní chyba

Poznámky

1. ↑ Projekt průvodce OWASP - OWASP . Získáno 25. května 2013. Archivováno z originálu 7. května 2013. (neurčitý)
2. ↑ Kategorie: Projekt kontroly kódu OWASP - OWASP . Získáno 25. května 2013. Archivováno z originálu 1. května 2013. (neurčitý)
3. ↑ http://www.owasp.org/index.php/OWASP_Top_Ten_Project Archivováno 7. května 2013 na Wayback Machine OWASP
4. ↑ http://www.owasp.org/index.php/OWASP_WebGoat_Project Archivováno 30. dubna 2013 na Wayback Machine WebGoat
5. ↑ Kategorie:OWASP WebScarab Project - OWASP . Získáno 25. května 2013. Archivováno z originálu 7. května 2013. (neurčitý)
6. ↑ http://www.owasp.org/index.php/Category:OWASP_.NET_Project Archivováno 26. dubna 2013 na OWASP Wayback Machine
7. ↑ Kapitola OWASP - OWASP . Získáno 25. 5. 2013. Archivováno z originálu 26. 4. 2013. (neurčitý)
8. ↑ Kategorie:OWASP AppSec Conference - OWASP . Získáno 25. 5. 2013. Archivováno z originálu 26. 4. 2013. (neurčitý)
9. ↑ Kategorie: Standardní projekt ověřování zabezpečení aplikací OWASP - OWASP . Získáno 25. 5. 2013. Archivováno z originálu 10. 5. 2013. (neurčitý)
10. ↑ Vítězové | Ceny časopisu SC

Odkazy

• Projekt OWASP
• Stránka ruské pobočky OWASP
• Článek o projektu Top 10
• OWASP Application Security Verification Standard (ASVS)
• Psaní zabezpečeného kódu (MS Press) ISBN 0-7356-1722-8
• Hrozby a protiopatření (MSDN)
• Překlad metodiky OWASP do ruštiny.
• Překlad a adaptace OWASP Mobile Top 10 do ruštiny.