Proyecto de seguridad de aplicaciones web abiertas
El Proyecto de seguridad de aplicaciones web abiertas (simplemente llamado OWASP ) es un proyecto de código abierto que tiene como objetivo crear pautas, herramientas y metodologías para mejorar la seguridad de las aplicaciones. Fue iniciado el 9 de septiembre de 2001 [1] por Mark Curphey , Dennis Groves y Jeremiah Grossman .
En 2004 , se estableció una fundación sin fines de lucro para apoyar a OWASP, que persigue el objetivo de aumentar la seguridad de las aplicaciones al permitir que se tomen decisiones basadas en el riesgo. En Europa es una organización sin ánimo de lucro registrada desde junio de 2011; también está presente en Italia con el Capítulo OWASP-Italia [2] fundado por Matteo Meucci en enero de 2005.
Publicaciones y recursos
Los proyectos OWASP se dividen en las siguientes categorías:
Proyectos emblemáticos: estos proyectos han demostrado un valor estratégico para OWASP y la seguridad de las aplicaciones en general.
Proyectos de laboratorio: Los proyectos de laboratorio de OWASP representan proyectos que han producido un producto de valor revisado de OWASP.
Proyectos de incubadora: los proyectos de incubadora de OWASP se encuentran en una fase experimental en la que los proyectos aún se están desarrollando, las ideas aún se están demostrando y el desarrollo aún está en curso.
El proyecto OWASP tiene más de 140 fuentes abiertas. Generalmente se dividen en 3 categorías:
- Protección de aplicaciones: son herramientas y documentos que se pueden utilizar para desarrollar software cada vez más seguro.
- Verificación de Seguridad: Son herramientas y documentos que se pueden utilizar para encontrar vulnerabilidades en código o servicio.
- Ciclo de vida de seguridad del software : son herramientas y documentos que se pueden utilizar para agregar actividades relacionadas con la seguridad en el ciclo de desarrollo de software (SDLC).
Los proyectos OWASP más relevantes actualmente son los siguientes:
- OWASP Top Ten : El "Top Ten", publicado por primera vez en 2003, es reconocido mundialmente por los desarrolladores como el primer paso para hacer un software más seguro. [3] Tiene como objetivo crear conciencia sobre la seguridad de las aplicaciones mediante la identificación de algunos de los riesgos más críticos para las organizaciones. [9] [10] [11] Numerosos estándares, libros, herramientas y organizaciones hacen referencia al proyecto Top 10, incluidos MITRE, PCI DSS, [12] la Agencia de Sistemas de Información de Defensa (DISA-STIG), la Comisión Federal de Comercio (FTC ) de los Estados Unidos, [13] y muchos más [cuantificar].
- OWASP Software Assurance Maturity Model [4] : El proyecto Software Assurance Maturity Model (SAMM) se compromete a construir un marco que pueda usarse para ayudar a las organizaciones a formular e implementar una estrategia de seguridad de aplicaciones que se adapte a los riesgos comerciales específicos del organización.
- OWASP Building Guide [5] : representa la guía en línea para el desarrollo seguro y proporciona una guía práctica que incluye ejemplos de código J2EE, ASP.NET y PHP. La Guía de creación de OWASP cubre una amplia gama de problemas de seguridad a nivel de aplicación, desde inyección de SQL hasta problemas modernos como phishing, manejo de tarjetas de crédito, cumplimiento y problemas de privacidad.
- Controles proactivos de OWASP : El Top Ten de controles proactivos de OWASP 2018 es una lista de técnicas de seguridad que deben incluirse en cualquier proyecto de desarrollo de software. Están ordenados por orden de importancia, siendo el control número 1 el más importante. Este documento fue escrito por desarrolladores para desarrolladores para ayudar a los recién llegados a garantizar el desarrollo.
- Guía de prueba de OWASP [6] : La Guía de verificación de seguridad de OWASP incluye un marco de prueba que los usuarios pueden implementar en sus organizaciones y una guía de prueba de penetración más técnica que describe la metodología para probar los problemas de seguridad más comunes de las aplicaciones web y los servicios web. 4 fue lanzado en septiembre de 2014, con contribuciones de 60 personas. La versión 4.1 se lanzó en abril de 2020.
- Guía de prueba de seguridad móvil de OWASP [7] : esta guía tiene como objetivo establecer el estándar de la industria para la seguridad de aplicaciones móviles. La guía muestra la metodología para realizar pruebas que cubren los procesos, las técnicas y las herramientas utilizadas durante una prueba de seguridad de aplicaciones móviles, así como un conjunto exhaustivo de casos de prueba que permite a los evaluadores brindar resultados consistentes y completos.
- Guía de revisión de código OWASP [8] : la guía de revisión de código se encuentra actualmente en la versión 2.0, lanzada en julio de 2017.
- Estándar de verificación de seguridad de aplicaciones OVASP (ASVS) [3] : un estándar para realizar verificaciones de seguridad a nivel de aplicación.
- OWASP ZAP [5] : Zed Attack Proxy (ZAP) es una herramienta de prueba de penetración integrada fácil de usar para buscar vulnerabilidades en aplicaciones web. Está diseñado para ser utilizado por personas con una amplia gama de experiencias de seguridad, incluidas desarrolladores y probadores que son nuevos en las pruebas de penetración.
- OWASP Webgoat [9] : una aplicación web deliberadamente insegura creada por OWASP como guía para prácticas de programación seguras. Una vez descargada, la aplicación viene con un tutorial y una serie de lecciones diferentes que instruyen a los estudiantes sobre cómo explotar vulnerabilidades con la intención de enseñarles cómo codificar de forma segura.
- AppSec Pipeline OWASP [4] : El proyecto Application Security (AppSec) DevOps Pipeline es un lugar para encontrar la información que necesita para aumentar la velocidad y la automatización de un programa de seguridad de aplicaciones. Las canalizaciones de AppSec adoptan los principios de DevOps y Lean y los aplican a un programa de seguridad de aplicaciones.
Notas
- ^ Acerca del Proyecto de Seguridad de Aplicaciones Web Abiertas - OWASP , en wiki.owasp.org . Consultado el 26 de abril de 2020 .
- ^ Italia-OWASP , en wiki.owasp.org . Consultado el 26 de abril de 2020 .
- ^ a b OWASP Top Ten , en owasp.org . Consultado el 26 de abril de 2020 .
- ^ a b OWASP SAMM , en owaspsamm.org . _ Consultado el 26 de abril de 2020 .
- ^ a b Proyecto Guía OWASP - OWASP , en wiki.owasp.org . Consultado el 26 de abril de 2020 .
- ^ Guía de prueba de seguridad web de OWASP , en owasp.org . Consultado el 26 de abril de 2020 .
- ^ Guía de prueba de seguridad móvil de OWASP , en owasp.org . Consultado el 26 de abril de 2020 .
- ^ Categoría: Proyecto de revisión de código OWASP - OWASP , en wiki.owasp.org . Consultado el 26 de abril de 2020 .
- ^ OWASP WebGoat , en owasp.org._ _ _ Consultado el 26 de abril de 2020 .
Otros proyectos
Wikimedia Commons contiene imágenes u otros archivos sobre el Proyecto de seguridad de aplicaciones web abiertas
Enlaces externos
- ( EN ) Sitio oficial , en owasp.org .
- Sitio oficial , en owasp.org.cn .
- ( ES ) Abrir Proyecto de Seguridad de Aplicaciones Web , en GitHub .