Организация компьютерной безопасности
Open Worldwide Application Security Project ( OWASP ) — это онлайн-сообщество, которое производит свободно доступные статьи, методологии, документацию, инструменты и технологии в области Интернета вещей, системного программного обеспечения и безопасности веб-приложений . [8] [9] [10] OWASP предоставляет бесплатные и открытые ресурсы. Его возглавляет некоммерческая организация The OWASP Foundation. Рейтинг OWASP Top 10 – 2021 — это опубликованный результат недавнего исследования, основанного на комплексных данных, собранных более чем 40 партнерскими организациями.
История
Марк Керфи основал OWASP 9 сентября 2001 года. [1] Джефф Уильямс был председателем-добровольцем OWASP с конца 2003 года по сентябрь 2011 года [обновлять]. По состоянию на 2015 год Мэтт Конда возглавлял Совет директоров. [11]
Фонд OWASP, некоммерческая организация 501(c)(3) в США, созданная в 2004 году, поддерживает инфраструктуру и проекты OWASP. С 2011 года OWASP также зарегистрирована как некоммерческая организация в Бельгии под названием OWASP Europe VZW. [12]
В феврале 2023 года Бил Корри, член глобального совета директоров Фонда OWASP, [13] в Твиттере сообщил, что совет проголосовал за переименование Open Web Application Security Project в его нынешнее название, заменив Web на Мировой.
Публикации и ресурсы
- Десять лучших OWASP: «Десять лучших», впервые опубликованная в 2003 году, регулярно обновляется. [14] Его цель – повысить осведомленность о безопасности приложений путем выявления некоторых наиболее важных рисков, с которыми сталкиваются организации. [15] [16] [17] Многие стандарты, книги, инструменты и многие организации ссылаются на проект Топ-10, включая MITRE, PCI DSS , [18] Агентство оборонных информационных систем ( DISA-STIG ) и Федеральное агентство США по информационным системам (DISA-STIG). Торговая комиссия (FTC), [19]
- Модель зрелости Software Assurance Maturance OWASP. Миссия проекта модели зрелости Software Assurance (SAMM) — предоставить организациям всех типов эффективный и измеримый способ анализа и улучшения состояния безопасности своего программного обеспечения. Основная цель — повысить осведомленность и обучить организации тому, как проектировать, разрабатывать и развертывать безопасное программное обеспечение с помощью гибкой модели самооценки. SAMM поддерживает полный жизненный цикл программного обеспечения и не зависит от технологий и процессов. Модель SAMM по своей природе является развивающейся и ориентированной на риск, признавая, что не существует единого рецепта, который работал бы для всех организаций. [20]
- Руководство по разработке OWASP. Руководство по разработке содержит практические рекомендации и включает примеры кода J2EE, ASP.NET и PHP. Руководство по разработке охватывает широкий спектр проблем безопасности на уровне приложений: от внедрения SQL-кода до современных проблем, таких как фишинг, обработка кредитных карт, фиксация сеанса, подделка межсайтовых запросов, вопросы соответствия требованиям и конфиденциальности.
- Руководство по тестированию OWASP: Руководство OWASP по тестированию включает в себя структуру тестирования на проникновение «лучших практик», которую пользователи могут внедрить в своих организациях, а также руководство по тестированию на проникновение «низкого уровня», в котором описываются методы тестирования наиболее распространенных проблем безопасности веб-приложений и веб-сервисов. Версия 4 была опубликована в сентябре 2014 года при участии 60 человек. [21]
- Руководство по проверке кода OWASP. Руководство по проверке кода в настоящее время находится в версии 2.0, выпущенной в июле 2017 года.
- Стандарт проверки безопасности приложений OWASP (ASVS): стандарт для выполнения проверок безопасности на уровне приложений. [22]
- Проект критериев оценки шлюза безопасности OWASP XML (XSG). [23]
- Топ-10 руководств OWASP по реагированию на инциденты. Этот проект обеспечивает упреждающий подход к планированию реагирования на инциденты. Целевая аудитория этого документа включает владельцев бизнеса, инженеров по безопасности, разработчиков, специалистов по аудиту, менеджеров программ, правоохранительных органов и юридических консультантов. [24]
- Проект OWASP ZAP: Zed Attack Proxy (ZAP) — это простой в использовании интегрированный инструмент тестирования на проникновение для поиска уязвимостей в веб-приложениях. Он предназначен для использования людьми с широким спектром опыта в области безопасности, включая разработчиков и функциональных тестировщиков, которые плохо знакомы с тестированием на проникновение.
- Webgoat: намеренно небезопасное веб-приложение, созданное OWASP в качестве руководства по безопасному программированию. [1] После загрузки приложение поставляется с учебным пособием и набором различных уроков, которые учат студентов, как использовать уязвимости, с целью научить их безопасному написанию кода.
- OWASP AppSec Pipeline: проект Application Security (AppSec) Rugged DevOps Pipeline — это место, где можно найти информацию, необходимую для повышения скорости и автоматизации программы безопасности приложений. Конвейеры AppSec используют принципы DevOps и Lean и применяют их к программе безопасности приложений. [25]
- OWASP «Автоматические угрозы для веб-приложений»: опубликовано в июле 2015 г. [26] — проект OWASP «Автоматические угрозы для веб-приложений» направлен на предоставление исчерпывающей информации и других ресурсов для архитекторов, разработчиков, тестировщиков и других лиц, которые помогут защититься от автоматических угроз, таких как подброс учетных данных . В проекте представлены 20 основных автоматизированных угроз по определению OWASP. [27]
- Проект OWASP API Security: фокусируется на стратегиях и решениях для понимания и смягчения уникальных уязвимостей и рисков безопасности [28] интерфейсов прикладного программирования (API). Включает самый последний список API Security Top 10 2023 года. [29]
Награды
Организация OWASP получила награду «Выбор редакции журнала Haymarket Media Group SC Magazine» в 2014 году. [9] [30]
Смотрите также
Рекомендации
- ^ abcd Хусеби, Сверре (2004). Невинный код: сигнал тревоги для веб-программистов . Уайли. п. 203. ИСБН 0470857447.
- ^ "Глобальный совет Фонда OWASP" . ОВАСП. 14 февраля 2023 г. . Проверено 20 марта 2023 г.
- ^ "Сотрудники Фонда OWASP" . ОВАСП. 12 февраля 2023 г. . Проверено 3 мая 2022 г.
- ^ "OWASP FOUNDATION INC" . Некоммерческий исследователь . ПроПублика . 9 мая 2013 года . Проверено 8 января 2020 г.
- ^ «Форма 990 Фонда OWASP за финансовый год, заканчивающийся в декабре 2020 года» . 29 октября 2021 г. . Получено 18 января 2023 г. - через ProPublica Nonprofit Explorer.
- ^ «Форма 990 Фонда OWASP за финансовый год, заканчивающийся в декабре 2017 года» . 26 октября 2018 года . Получено 8 января 2020 г. через ProPublica Nonprofit Explorer.
- ^ «10 основных уязвимостей OWASP» . РазработчикWorks . ИБМ. 20 апреля 2015 года . Проверено 28 ноября 2015 г.
- ^ ab «Награды журнала SC Magazine 2014» (PDF) . Media.scmagazine.com. Архивировано из оригинала (PDF) 22 сентября 2014 года . Проверено 3 ноября 2014 г.
- ^ "OWASP Интернет вещей" . Проверено 26 декабря 2023 г.
- ^ Доска. Архивировано 16 сентября 2017 г. в Wayback Machine . ОВАСП. Проверено 27 февраля 2015 г.
- ^ OWASP Europe, OWASP, 2016.
- ^ Глобальный совет
- ^ Десять лучших проектов OWASP на owasp.org
- ↑ Треватан, Мэтт (1 октября 2015 г.). «Семь лучших практик для Интернета вещей». База данных и сетевой журнал . Архивировано из оригинала 28 ноября 2015 года.
- ↑ Кросман, Пенни (24 июля 2015 г.). «Дырявые банковские веб-сайты позволяют проникать кликджекингу и другим угрозам» . Американский банкир . Архивировано из оригинала 28 ноября 2015 года.
- ↑ Паули, Даррен (4 декабря 2015 г.). «Компания Infosec оценивает языки приложений; найдите «короля» Java и положите PHP в корзину». Регистр . Проверено 4 декабря 2015 г.
- ^ «Стандарт безопасности данных индустрии платежных карт (PCI)» (PDF) . Совет по стандартам безопасности PCI. Ноябрь 2013. с. 55 . Проверено 3 декабря 2015 г.
- ^ «10 лучших проектов по безопасности открытых веб-приложений (10 лучших OWASP)» . База знаний. Синопсис . Синопсис, Инк. 2017 . Проверено 20 июля 2017 г.
Многие организации, в том числе Совет по стандартам безопасности PCI, Национальный институт стандартов и технологий (NIST) и Федеральная торговая комиссия (FTC), регулярно ссылаются на Топ-10 OWASP как на комплексное руководство по устранению уязвимостей веб-приложений и обеспечению соответствия требованиям.
- ^ «Что такое OWASP SAMM?». ОВАСП САММ . Проверено 6 ноября 2022 г.
- ↑ Паули, Даррен (18 сентября 2014 г.). «Опубликовано комплексное руководство по уничтожению веб-приложений». Регистр . Проверено 28 ноября 2015 г.
- ^ Баар, Ганс; Смалтерс, Андре; Хинцберген, Юлс; Хинцберген, Кес (2015). Основы информационной безопасности на основе ISO27001 и ISO27002 (3-е изд.). Ван Харен. п. 144. ИСБН 9789401800129.
- ^ «Категория: Последний проект оценки критериев оценки шлюза безопасности XML OWASP» . Owasp.org. Архивировано из оригинала 3 ноября 2014 года . Проверено 3 ноября 2014 г.
- ^ «Проект реагирования на инциденты OWASP - OWASP» . Архивировано из оригинала 6 апреля 2019 года . Проверено 12 декабря 2015 г.
- ^ "Конвейер OWASP AppSec" . Открытый проект безопасности веб-приложений (OWASP) . Архивировано из оригинала 18 января 2020 года . Проверено 26 февраля 2017 г.
- ^ «АВТОМАТИЧЕСКИЕ УГРОЗЫ для веб-приложений» (PDF) . ОВАСП. Июль 2015.
- ^
Список автоматических событий угроз.
- ↑ Мехта, Янки (8 мая 2023 г.). «Устранение 10 основных уязвимостей OWASP в 2023 году». EncryptedFence от Certera — полный блог по веб-безопасности . Проверено 7 июня 2023 г.
- ^ «Проект безопасности API OWASP - Фонд OWASP» . ОВАСП .
- ^ «Победители | Награды журнала SC» . Awards.scmagazine.com. Архивировано из оригинала 20 августа 2014 года . Проверено 17 июля 2014 г.
Выбор редакции [...] Победитель: Фонд OWASP
Внешние ссылки