close

Otwórz projekt bezpieczeństwa aplikacji internetowych

Skocz do nawigacji Skocz do wyszukiwania

Open Web Application Security Project (zwany po prostu OWASP ) to projekt typu open source, którego celem jest stworzenie wytycznych, narzędzi i metodologii w celu poprawy bezpieczeństwa aplikacji. Zostało rozpoczęte 9 września 2001 roku przez Marka Curpheya , Dennisa Grovesa i Jeremiaha Grossmana .

W 2004 roku powstała fundacja non-profit wspierająca OWASP, której celem jest zwiększenie bezpieczeństwa aplikacji poprzez umożliwienie podejmowania decyzji w oparciu o ryzyko. W Europie jest organizacją non-profit zarejestrowaną od czerwca 2011 roku; jest również obecny we Włoszech w ramach włoskiego oddziału OWASP [2] założonego przez Matteo Meucciego w styczniu 2005 roku.

Publikacje i zasoby

Projekty OWASP podzielone są na następujące kategorie:

Projekty flagowe: Projekty te wykazały strategiczną wartość dla OWASP i bezpieczeństwa aplikacji jako całości.

Projekty laboratoryjne: Projekty laboratoryjne OWASP reprezentują projekty, które stworzyły produkt o zmienionej wartości OWASP.

Projekty inkubatorów: Projekty inkubatorów OWASP są w fazie eksperymentalnej, gdzie projekty są nadal rozwijane, pomysły są nadal demonstrowane, a rozwój nadal trwa.

Projekt OWASP ma ponad 140 otwartych źródeł. Są one generalnie podzielone na 3 kategorie:

- Ochrona aplikacji: są to narzędzia i dokumenty, które można wykorzystać do tworzenia coraz bezpieczniejszego oprogramowania.

- Weryfikacja bezpieczeństwa: są to narzędzia i dokumenty, których można użyć do znalezienia luk w kodzie lub usłudze.

- Cykl życia zabezpieczeń oprogramowania : są to narzędzia i dokumenty, których można używać do dodawania działań związanych z bezpieczeństwem do cyklu rozwoju oprogramowania (SDLC).

Najważniejsze projekty OWASP to obecnie:

- OWASP Top Ten : „Top Ten”, opublikowany po raz pierwszy w 2003 roku, jest rozpoznawany na całym świecie przez programistów jako pierwszy krok w kierunku tworzenia bezpieczniejszego oprogramowania. [3] Ma na celu podniesienie świadomości bezpieczeństwa aplikacji poprzez identyfikację niektórych z najbardziej krytycznych zagrożeń dla organizacji. [9] [10] [11] Liczne normy, książki, narzędzia i organizacje odnoszą się do projektu Top 10, w tym MITER, PCI DSS, [12] Agencja Systemów Informacyjnych Obrony (DISA-STIG), Federalna Komisja Handlu (FTC ) Stanów Zjednoczonych [13] i wielu innych [podać ilościowo].

- OWASP Software Assurance Maturity Model [4] : ​​Projekt Software Assurance Maturity Model (SAMM) ma na celu zbudowanie struktury, która może być wykorzystana do pomocy organizacjom w formułowaniu i wdrażaniu strategii bezpieczeństwa aplikacji, która jest dostosowana do określonych ryzyk biznesowych organizacja.

- OWASP Building Guide [5] : przedstawia przewodnik online dotyczący bezpiecznego programowania i zawiera praktyczny przewodnik zawierający przykłady kodu J2EE, ASP.NET i PHP. Przewodnik po budynku OWASP obejmuje szeroki zakres zagadnień bezpieczeństwa na poziomie aplikacji, od wstrzykiwania SQL po współczesne problemy, takie jak phishing, obsługa kart kredytowych, zgodność i kwestie prywatności.

- OWASP Proactive Controls : OWASP Top Ten Proactive Controls 2018 to lista technik bezpieczeństwa, które powinny być uwzględnione w każdym projekcie rozwoju oprogramowania. Są one posortowane według ważności, przy czym najważniejsza jest kontrolka numer 1. Ten dokument został napisany przez programistów dla programistów, aby pomóc nowicjuszom zapewnić rozwój.

- OWASP Testing Guide [6] : OWASP Security Verification Guide zawiera strukturę testową, którą użytkownicy mogą wdrożyć w swoich organizacjach oraz bardziej techniczny przewodnik po testach penetracyjnych, który opisuje metodologię testowania najczęstszych problemów bezpieczeństwa aplikacji internetowych i usług internetowych. 4 został wydany we wrześniu 2014 roku, z wkładem od 60 osób. Wersja 4.1 została wydana w kwietniu 2020 roku.

- OWASP Mobile Security Testing Guide [7] : Ten przewodnik ma na celu ustanowienie standardu branżowego dla bezpieczeństwa aplikacji mobilnych. Poradnik przedstawia metodologię wykonywania testów obejmujących procesy, techniki i narzędzia wykorzystywane podczas testów bezpieczeństwa aplikacji mobilnych, a także wyczerpujący zestaw przypadków testowych, które pozwalają testerom na dostarczanie spójnych i kompleksowych wyników.

- Przewodnik po przeglądzie kodu OWASP [8] : Przewodnik po przeglądzie kodu jest obecnie w wersji 2.0, wydanej w lipcu 2017 r.

- OVASP Application Security Verification Standard (ASVS) [3] : Standard przeprowadzania weryfikacji zabezpieczeń na poziomie aplikacji.

- OWASP ZAP [5]  : Zed Attack Proxy (ZAP) to łatwe w użyciu zintegrowane narzędzie do testowania penetracji służące do wyszukiwania luk w aplikacjach internetowych, przeznaczone do użytku przez osoby o szerokim zakresie zabezpieczeń, w tym funkcjonalne programiści i testerzy, którzy są nowicjuszami w testach penetracyjnych.

- OWASP Webgoat [9] : Celowo niezabezpieczona aplikacja internetowa stworzona przez OWASP jako przewodnik po bezpiecznych praktykach programistycznych. Po pobraniu aplikacja zawiera samouczek i serię różnych lekcji, które instruują uczniów, jak wykorzystać luki w zabezpieczeniach, aby nauczyć ich bezpiecznego kodowania.

- AppSec Pipeline OWASP [4] : ​​Projekt Application Security (AppSec) DevOps Pipeline to miejsce, w którym można znaleźć informacje potrzebne do zwiększenia szybkości i automatyzacji programu bezpieczeństwa aplikacji. Potoki AppSec przyjmują zasady DevOps i Lean i stosują je do programu bezpieczeństwa aplikacji.

Notatki

  1. ^ Informacje o projekcie Open Web Application Security Project - OWASP , na stronie wiki.owasp.org . Źródło 26 kwietnia 2020 .
  2. ^ Włochy - OWASP , na wiki.owasp.org . Źródło 26 kwietnia 2020 .
  3. ^ a b OWASP Top Ten , na owasp.org . Źródło 26 kwietnia 2020 .
  4. ^ a b OWASP SAMM , na owaspsamm.org . _ Źródło 26 kwietnia 2020 .
  5. ^ a b Projekt przewodnika OWASP - OWASP , na stronie wiki.owasp.org . Źródło 26 kwietnia 2020 .
  6. ^ OWASP Web Security Testing Guide , na owasp.org . Źródło 26 kwietnia 2020 .
  7. ^ OWASP Mobile Security Testing Guide , na owasp.org . Źródło 26 kwietnia 2020 .
  8. ^ Kategoria: Projekt przeglądu kodu OWASP - OWASP , na wiki.owasp.org . Źródło 26 kwietnia 2020 .
  9. ^ OWASP WebGoat , na owasp.org . _ Źródło 26 kwietnia 2020 .

Inne projekty

Linki zewnętrzne