Otwórz projekt bezpieczeństwa aplikacji internetowych
Open Web Application Security Project (zwany po prostu OWASP ) to projekt typu open source, którego celem jest stworzenie wytycznych, narzędzi i metodologii w celu poprawy bezpieczeństwa aplikacji. Zostało rozpoczęte 9 września 2001 roku przez Marka Curpheya , Dennisa Grovesa i Jeremiaha Grossmana .
W 2004 roku powstała fundacja non-profit wspierająca OWASP, której celem jest zwiększenie bezpieczeństwa aplikacji poprzez umożliwienie podejmowania decyzji w oparciu o ryzyko. W Europie jest organizacją non-profit zarejestrowaną od czerwca 2011 roku; jest również obecny we Włoszech w ramach włoskiego oddziału OWASP [2] założonego przez Matteo Meucciego w styczniu 2005 roku.
Publikacje i zasoby
Projekty OWASP podzielone są na następujące kategorie:
Projekty flagowe: Projekty te wykazały strategiczną wartość dla OWASP i bezpieczeństwa aplikacji jako całości.
Projekty laboratoryjne: Projekty laboratoryjne OWASP reprezentują projekty, które stworzyły produkt o zmienionej wartości OWASP.
Projekty inkubatorów: Projekty inkubatorów OWASP są w fazie eksperymentalnej, gdzie projekty są nadal rozwijane, pomysły są nadal demonstrowane, a rozwój nadal trwa.
Projekt OWASP ma ponad 140 otwartych źródeł. Są one generalnie podzielone na 3 kategorie:
- Ochrona aplikacji: są to narzędzia i dokumenty, które można wykorzystać do tworzenia coraz bezpieczniejszego oprogramowania.
- Weryfikacja bezpieczeństwa: są to narzędzia i dokumenty, których można użyć do znalezienia luk w kodzie lub usłudze.
- Cykl życia zabezpieczeń oprogramowania : są to narzędzia i dokumenty, których można używać do dodawania działań związanych z bezpieczeństwem do cyklu rozwoju oprogramowania (SDLC).
Najważniejsze projekty OWASP to obecnie:
- OWASP Top Ten : „Top Ten”, opublikowany po raz pierwszy w 2003 roku, jest rozpoznawany na całym świecie przez programistów jako pierwszy krok w kierunku tworzenia bezpieczniejszego oprogramowania. [3] Ma na celu podniesienie świadomości bezpieczeństwa aplikacji poprzez identyfikację niektórych z najbardziej krytycznych zagrożeń dla organizacji. [9] [10] [11] Liczne normy, książki, narzędzia i organizacje odnoszą się do projektu Top 10, w tym MITER, PCI DSS, [12] Agencja Systemów Informacyjnych Obrony (DISA-STIG), Federalna Komisja Handlu (FTC ) Stanów Zjednoczonych [13] i wielu innych [podać ilościowo].
- OWASP Software Assurance Maturity Model [4] : Projekt Software Assurance Maturity Model (SAMM) ma na celu zbudowanie struktury, która może być wykorzystana do pomocy organizacjom w formułowaniu i wdrażaniu strategii bezpieczeństwa aplikacji, która jest dostosowana do określonych ryzyk biznesowych organizacja.
- OWASP Building Guide [5] : przedstawia przewodnik online dotyczący bezpiecznego programowania i zawiera praktyczny przewodnik zawierający przykłady kodu J2EE, ASP.NET i PHP. Przewodnik po budynku OWASP obejmuje szeroki zakres zagadnień bezpieczeństwa na poziomie aplikacji, od wstrzykiwania SQL po współczesne problemy, takie jak phishing, obsługa kart kredytowych, zgodność i kwestie prywatności.
- OWASP Proactive Controls : OWASP Top Ten Proactive Controls 2018 to lista technik bezpieczeństwa, które powinny być uwzględnione w każdym projekcie rozwoju oprogramowania. Są one posortowane według ważności, przy czym najważniejsza jest kontrolka numer 1. Ten dokument został napisany przez programistów dla programistów, aby pomóc nowicjuszom zapewnić rozwój.
- OWASP Testing Guide [6] : OWASP Security Verification Guide zawiera strukturę testową, którą użytkownicy mogą wdrożyć w swoich organizacjach oraz bardziej techniczny przewodnik po testach penetracyjnych, który opisuje metodologię testowania najczęstszych problemów bezpieczeństwa aplikacji internetowych i usług internetowych. 4 został wydany we wrześniu 2014 roku, z wkładem od 60 osób. Wersja 4.1 została wydana w kwietniu 2020 roku.
- OWASP Mobile Security Testing Guide [7] : Ten przewodnik ma na celu ustanowienie standardu branżowego dla bezpieczeństwa aplikacji mobilnych. Poradnik przedstawia metodologię wykonywania testów obejmujących procesy, techniki i narzędzia wykorzystywane podczas testów bezpieczeństwa aplikacji mobilnych, a także wyczerpujący zestaw przypadków testowych, które pozwalają testerom na dostarczanie spójnych i kompleksowych wyników.
- Przewodnik po przeglądzie kodu OWASP [8] : Przewodnik po przeglądzie kodu jest obecnie w wersji 2.0, wydanej w lipcu 2017 r.
- OVASP Application Security Verification Standard (ASVS) [3] : Standard przeprowadzania weryfikacji zabezpieczeń na poziomie aplikacji.
- OWASP ZAP [5] : Zed Attack Proxy (ZAP) to łatwe w użyciu zintegrowane narzędzie do testowania penetracji służące do wyszukiwania luk w aplikacjach internetowych, przeznaczone do użytku przez osoby o szerokim zakresie zabezpieczeń, w tym funkcjonalne programiści i testerzy, którzy są nowicjuszami w testach penetracyjnych.
- OWASP Webgoat [9] : Celowo niezabezpieczona aplikacja internetowa stworzona przez OWASP jako przewodnik po bezpiecznych praktykach programistycznych. Po pobraniu aplikacja zawiera samouczek i serię różnych lekcji, które instruują uczniów, jak wykorzystać luki w zabezpieczeniach, aby nauczyć ich bezpiecznego kodowania.
- AppSec Pipeline OWASP [4] : Projekt Application Security (AppSec) DevOps Pipeline to miejsce, w którym można znaleźć informacje potrzebne do zwiększenia szybkości i automatyzacji programu bezpieczeństwa aplikacji. Potoki AppSec przyjmują zasady DevOps i Lean i stosują je do programu bezpieczeństwa aplikacji.
Notatki
- ^ Informacje o projekcie Open Web Application Security Project - OWASP , na stronie wiki.owasp.org . Źródło 26 kwietnia 2020 .
- ^ Włochy - OWASP , na wiki.owasp.org . Źródło 26 kwietnia 2020 .
- ^ a b OWASP Top Ten , na owasp.org . Źródło 26 kwietnia 2020 .
- ^ a b OWASP SAMM , na owaspsamm.org . _ Źródło 26 kwietnia 2020 .
- ^ a b Projekt przewodnika OWASP - OWASP , na stronie wiki.owasp.org . Źródło 26 kwietnia 2020 .
- ^ OWASP Web Security Testing Guide , na owasp.org . Źródło 26 kwietnia 2020 .
- ^ OWASP Mobile Security Testing Guide , na owasp.org . Źródło 26 kwietnia 2020 .
- ^ Kategoria: Projekt przeglądu kodu OWASP - OWASP , na wiki.owasp.org . Źródło 26 kwietnia 2020 .
- ^ OWASP WebGoat , na owasp.org . _ Źródło 26 kwietnia 2020 .
Inne projekty
Wikimedia Commons zawiera obrazy lub inne pliki dotyczące projektu Open Web Application Security Project
Linki zewnętrzne
- ( EN ) Oficjalna strona internetowa owasp.org .
- Oficjalna strona owasp.org.cn .
- ( EN ) Otwórz projekt bezpieczeństwa aplikacji internetowych na GitHub .