ОВАСП

Организация компьютерной безопасности

Open Worldwide Application Security Project ^[7] ( OWASP ) — это онлайн-сообщество, которое производит свободно доступные статьи, методологии, документацию, инструменты и технологии в области Интернета вещей, системного программного обеспечения и безопасности веб-приложений . ^{[8] [9] [10]} OWASP предоставляет бесплатные и открытые ресурсы. Его возглавляет некоммерческая организация The OWASP Foundation. Рейтинг OWASP Top 10 – 2021 — это опубликованный результат недавнего исследования, основанного на комплексных данных, собранных более чем 40 партнерскими организациями.

История

Марк Керфи основал OWASP 9 сентября 2001 года. ^[1] Джефф Уильямс был председателем-добровольцем OWASP с конца 2003 года по сентябрь 2011 года ^{[обновлять]}. По состоянию на 2015 год Мэтт Конда возглавлял Совет директоров. ^[11]

Фонд OWASP, некоммерческая организация 501(c)(3) в США, созданная в 2004 году, поддерживает инфраструктуру и проекты OWASP. С 2011 года OWASP также зарегистрирована как некоммерческая организация в Бельгии под названием OWASP Europe VZW. ^[12]

^{В феврале 2023 года Бил Корри, член глобального совета директоров Фонда OWASP, [13]} в Твиттере ^[7] сообщил, что совет проголосовал за переименование Open Web Application Security Project в его нынешнее название, заменив Web на Мировой.

Публикации и ресурсы

• Десять лучших OWASP: «Десять лучших», впервые опубликованная в 2003 году, регулярно обновляется. ^[14] Его цель – повысить осведомленность о безопасности приложений путем выявления некоторых наиболее важных рисков, с которыми сталкиваются организации. ^{[15] [16] [17]} Многие стандарты, книги, инструменты и многие организации ссылаются на проект Топ-10, включая MITRE, PCI DSS , ^[18] Агентство оборонных информационных систем ( DISA-STIG ) и Федеральное агентство США по информационным системам (DISA-STIG). Торговая комиссия (FTC), ^[19]
• Модель зрелости Software Assurance Maturance OWASP. Миссия проекта модели зрелости Software Assurance (SAMM) — предоставить организациям всех типов эффективный и измеримый способ анализа и улучшения состояния безопасности своего программного обеспечения. Основная цель — повысить осведомленность и обучить организации тому, как проектировать, разрабатывать и развертывать безопасное программное обеспечение с помощью гибкой модели самооценки. SAMM поддерживает полный жизненный цикл программного обеспечения и не зависит от технологий и процессов. Модель SAMM по своей природе является развивающейся и ориентированной на риск, признавая, что не существует единого рецепта, который работал бы для всех организаций. ^[20]
• Руководство по разработке OWASP. Руководство по разработке содержит практические рекомендации и включает примеры кода J2EE, ASP.NET и PHP. Руководство по разработке охватывает широкий спектр проблем безопасности на уровне приложений: от внедрения SQL-кода до современных проблем, таких как фишинг, обработка кредитных карт, фиксация сеанса, подделка межсайтовых запросов, вопросы соответствия требованиям и конфиденциальности.
• Руководство по тестированию OWASP: Руководство OWASP по тестированию включает в себя структуру тестирования на проникновение «лучших практик», которую пользователи могут внедрить в своих организациях, а также руководство по тестированию на проникновение «низкого уровня», в котором описываются методы тестирования наиболее распространенных проблем безопасности веб-приложений и веб-сервисов. Версия 4 была опубликована в сентябре 2014 года при участии 60 человек. ^[21]
• Руководство по проверке кода OWASP. Руководство по проверке кода в настоящее время находится в версии 2.0, выпущенной в июле 2017 года.
• Стандарт проверки безопасности приложений OWASP (ASVS): стандарт для выполнения проверок безопасности на уровне приложений. ^[22]
• Проект критериев оценки шлюза безопасности OWASP XML (XSG). ^[23]
• Топ-10 руководств OWASP по реагированию на инциденты. Этот проект обеспечивает упреждающий подход к планированию реагирования на инциденты. Целевая аудитория этого документа включает владельцев бизнеса, инженеров по безопасности, разработчиков, специалистов по аудиту, менеджеров программ, правоохранительных органов и юридических консультантов. ^[24]
• Проект OWASP ZAP: Zed Attack Proxy (ZAP) — это простой в использовании интегрированный инструмент тестирования на проникновение для поиска уязвимостей в веб-приложениях. Он предназначен для использования людьми с широким спектром опыта в области безопасности, включая разработчиков и функциональных тестировщиков, которые плохо знакомы с тестированием на проникновение.
• Webgoat: намеренно небезопасное веб-приложение, созданное OWASP в качестве руководства по безопасному программированию. ^[1] После загрузки приложение поставляется с учебным пособием и набором различных уроков, которые учат студентов, как использовать уязвимости, с целью научить их безопасному написанию кода.
• OWASP AppSec Pipeline: проект Application Security (AppSec) Rugged DevOps Pipeline — это место, где можно найти информацию, необходимую для повышения скорости и автоматизации программы безопасности приложений. Конвейеры AppSec используют принципы DevOps и Lean и применяют их к программе безопасности приложений. ^[25]
• OWASP «Автоматические угрозы для веб-приложений»: опубликовано в июле 2015 г. ^[26] — проект OWASP «Автоматические угрозы для веб-приложений» направлен на предоставление исчерпывающей информации и других ресурсов для архитекторов, разработчиков, тестировщиков и других лиц, которые помогут защититься от автоматических угроз, таких как подброс учетных данных . В проекте представлены 20 основных автоматизированных угроз по определению OWASP. ^[27]
• Проект OWASP API Security: фокусируется на стратегиях и решениях для понимания и смягчения уникальных уязвимостей и рисков безопасности ^[28] интерфейсов прикладного программирования (API). Включает самый последний список API Security Top 10 2023 года. ^[29]

Награды

Организация OWASP получила награду «Выбор редакции журнала Haymarket Media Group SC Magazine» ^{в 2014 году. [9] [30]}

Смотрите также

• Фонд безопасности открытого исходного кода

Рекомендации

1. Хусеби, Сверре (2004). Невинный код: сигнал тревоги для веб-программистов . Уайли. п. 203. ИСБН 0470857447.
2. "Глобальный совет Фонда OWASP" . ОВАСП. 14 февраля 2023 г. . Проверено 20 марта 2023 г.
3. "Сотрудники Фонда OWASP" . ОВАСП. 12 февраля 2023 г. . Проверено 3 мая 2022 г.
4. "OWASP FOUNDATION INC" . Некоммерческий исследователь . ПроПублика . 9 мая 2013 года . Проверено 8 января 2020 г.
5. «Форма 990 Фонда OWASP за финансовый год, заканчивающийся в декабре 2020 года» . 29 октября 2021 г. . Получено 18 января 2023 г. - через ProPublica Nonprofit Explorer.
6. «Форма 990 Фонда OWASP за финансовый год, заканчивающийся в декабре 2017 года» . 26 октября 2018 года . Получено 8 января 2020 г. через ProPublica Nonprofit Explorer.
7. «Web» до «Worldwide» Билла Корри в Твиттере.
8. «10 основных уязвимостей OWASP» . РазработчикWorks . ИБМ. 20 апреля 2015 года . Проверено 28 ноября 2015 г.
9. «Награды журнала SC Magazine 2014» (PDF) . Media.scmagazine.com. Архивировано из оригинала (PDF) 22 сентября 2014 года . Проверено 3 ноября 2014 г.
10. "OWASP Интернет вещей" . Проверено 26 декабря 2023 г.
11. Доска. Архивировано 16 сентября 2017 г. в Wayback Machine . ОВАСП. Проверено 27 февраля 2015 г.
12. OWASP Europe, OWASP, 2016.
13. Глобальный совет
14. Десять лучших проектов OWASP на owasp.org
15. Треватан, Мэтт (1 октября 2015 г.). «Семь лучших практик для Интернета вещей». База данных и сетевой журнал . Архивировано из оригинала 28 ноября 2015 года.
16. Кросман, Пенни (24 июля 2015 г.). «Дырявые банковские веб-сайты позволяют проникать кликджекингу и другим угрозам» . Американский банкир . Архивировано из оригинала 28 ноября 2015 года.
17. Паули, Даррен (4 декабря 2015 г.). «Компания Infosec оценивает языки приложений; найдите «короля» Java и положите PHP в корзину». Регистр . Проверено 4 декабря 2015 г.
18. «Стандарт безопасности данных индустрии платежных карт (PCI)» (PDF) . Совет по стандартам безопасности PCI. Ноябрь 2013. с. 55 . Проверено 3 декабря 2015 г.
19. «10 лучших проектов по безопасности открытых веб-приложений (10 лучших OWASP)» . База знаний. Синопсис . Синопсис, Инк. 2017 . Проверено 20 июля 2017 г. Многие организации, в том числе Совет по стандартам безопасности PCI, Национальный институт стандартов и технологий (NIST) и Федеральная торговая комиссия (FTC), регулярно ссылаются на Топ-10 OWASP как на комплексное руководство по устранению уязвимостей веб-приложений и обеспечению соответствия требованиям.
20. «Что такое OWASP SAMM?». ОВАСП САММ . Проверено 6 ноября 2022 г.
21. Паули, Даррен (18 сентября 2014 г.). «Опубликовано комплексное руководство по уничтожению веб-приложений». Регистр . Проверено 28 ноября 2015 г.
22. Баар, Ганс; Смалтерс, Андре; Хинцберген, Юлс; Хинцберген, Кес (2015). Основы информационной безопасности на основе ISO27001 и ISO27002 (3-е изд.). Ван Харен. п. 144. ИСБН 9789401800129.
23. «Категория: Последний проект оценки критериев оценки шлюза безопасности XML OWASP» . Owasp.org. Архивировано из оригинала 3 ноября 2014 года . Проверено 3 ноября 2014 г.
24. «Проект реагирования на инциденты OWASP - OWASP» . Архивировано из оригинала 6 апреля 2019 года . Проверено 12 декабря 2015 г.
25. "Конвейер OWASP AppSec" . Открытый проект безопасности веб-приложений (OWASP) . Архивировано из оригинала 18 января 2020 года . Проверено 26 февраля 2017 г.
26. «АВТОМАТИЧЕСКИЕ УГРОЗЫ для веб-приложений» (PDF) . ОВАСП. Июль 2015.
27. Список автоматических событий угроз.
28. Мехта, Янки (8 мая 2023 г.). «Устранение 10 основных уязвимостей OWASP в 2023 году». EncryptedFence от Certera — полный блог по веб-безопасности . Проверено 7 июня 2023 г.
29. «Проект безопасности API OWASP - Фонд OWASP» . ОВАСП .
30. «Победители | Награды журнала SC» . Awards.scmagazine.com. Архивировано из оригинала 20 августа 2014 года . Проверено 17 июля 2014 г. Выбор редакции [...] Победитель: Фонд OWASP

Внешние ссылки

• Официальный веб-сайт