OWASP

Open Web Application Security Project (OWASP) är ett säkerhetsprojekt för webbapplikationer med öppen källkod .

OWASP-gemenskapen inkluderar företag, utbildningsorganisationer och individer från hela världen. Gemenskapen arbetar för att skapa artiklar, tutorials, dokumentation, verktyg och tekniker som är fritt tillgängliga.

OWASP Foundation är en 501(c)(3) organisation välgörenhetsorganisation som stöder och hanterar OWASP-projekt och infrastruktur. Dessutom har stiftelsen varit registrerad som en ideell organisation i Europa sedan juni 2011.

OWASP är inte anslutet till något teknikföretag, men det stöder smart användning av säkerhetsteknik. Projektet undviker anknytning eftersom det anser att frihet från inflytande från andra organisationer kan underlätta spridningen av opartisk, användbar och billig applikationssäkerhetsinformation.

Medlemmar av OWASP-gemenskapen gör applikationer säkrare, med tanke på den mänskliga faktorn och den tekniska nivån.

De mest efterfrågade dokumenten publicerade av OWASP inkluderar: OWASP Guide [1] , OWASP Code Review Guide [2] och det allmänt använda OWASP Top 10 Draft [3] .

De vanligaste OWASP-verktygen är träningsmiljön [4] , WebScarab proxyanalysator [5] och .NET-verktyg [6] . OWASP består av cirka 190 lokala avdelningar [7] runt om i världen och tusentals bidragsgivare på projektets e-postlistor.

OWASP var värd för AppSec-serien [8] för att ytterligare bygga applikationssäkerhetsgemenskapen.

OWASP skapar standarder, varav den första publicerades under namnet OWASP Application Security Verification Standard (ASVS)). [9] Det primära målet för OWASP ASVS är att standardisera omfattningen och strängheten för säkerhetsapplikationer som finns tillgängliga på marknaden. Målet med OWASP ASVS var också att skapa en uppsättning kommersiellt framgångsrika öppna standarder skräddarsydda för specialiserade webbteknologier. Webbapplikationssamlingen har redan publicerats. Samling för webbtjänster under utveckling.

Projekt

OWASP-projekt  är en uppsättning relaterade uppgifter som har en specifik utvecklingsplan och utvecklingsteam.

OWASP-projektledare är ansvariga för att definiera bilden, schemat och målen för projektet, samt att marknadsföra projektet och rekrytera teamet. Det finns för närvarande över 130 aktiva OWASP-projekt och antalet av dessa projekt växer varje vecka. Projekt är en av de mest populära divisionerna av OWASP eftersom de ger aktivister friheten att testa olika teorier och idéer med professionellt stöd från OWASP-gemenskapen.

Allt skapat av OWASP: verktyg, dokumentation och kodbibliotek är indelat i följande kategorier.

Försvar är verktygen och dokumentationen som kan användas för att försvara sig mot attacker och utnyttjande av systemfel.

Detektion är verktygen och dokumentationen som kan användas för att upptäcka attacker och brister i system.

Cykeln är verktygen och dokumentationen som kan användas för att lägga till säkerhetsrelaterat arbete till mjukvarans livscykel .

Några av OWASP-projekten

• OWASP Application Security Verification Standard (ASVS)  är en standard för att utföra applikationssäkerhetsrevisioner.
• OWASP Development Guide ger praktiska råd och innehåller kodexempel i J2EE, ASP.NET och PHP . Utvecklingsguiden, som reviderades kraftigt under 2014, täcker ett brett spektrum av säkerhetsfrågor i applikationslager, från SQL-injektion till moderna frågor som nätfiske , kreditkortshantering, sessionsfixning, förfalskning av begäranden över flera webbplatser , konsekvens och integritet.
• OWASP Testing Guide innehåller ett "bästa praxis" penetrationstestramverk som användare kan använda i sina organisationer och en "low-level" penetrationstestguide som beskriver tekniker för att testa de vanligaste säkerhetsproblemen i webbapplikationer och webbtjänster.
• OWASP version 1.1 Code Review Guide är den näst största sålda tryckta publikationen som släpptes av OWASP 2008. Samtidigt har version 1.0 redan samlat in mycket positiv feedback och har blivit en av nyckelprodukterna som gör att OWASP kan hantera mjukvarusäkerhetsproblem.
• OWASP ZAP Project : Z-Attack Proxy är ett lättanvänt inbyggt penetrationstestverktyg för att hitta sårbarheter i webbapplikationer. Den är designad för att användas av personer med ett brett utbud av säkerhetsbakgrunder och är ett riktmärke för utvecklare och funktionstestare som inte har erfarenhet av penetrationstestning.
• OWASP Top 10 : Målet med Top 10-projektet är att öka medvetenheten om applikationssäkerhet genom att identifiera de mest kritiska riskerna som hotar organisationer. Topp 10-projektet refereras av många standarder , verktyg och organisationer, inklusive MITER, PCI DSS , DISA, FTC och många fler.
• OWASP Software Completeness Model : Detta projekt syftar till att tillhandahålla ett användbart ramverk för att hjälpa organisationer att formulera och implementera en applikationssäkerhetsstrategi, givet de specifika affärsrisker som en organisation står inför.
• Webgoat är en notoriskt opålitlig webbapplikation skapad av OWASP som en guide för att skriva säker kod. Applikationen kommer med en lärobok och en uppsättning olika kurser som lär eleverna hur man använder information om sårbarheter för att skriva säker kod.
• OWASP Mantra Security Framework : En samling hackverktyg , tillägg och skript baserade på Mozilla Firefox .
• Många andra säkerhetsverktyg och applikationer finns tillgängliga i OWASP-projektstrukturen .

Historik

OWASP grundades den 9 september 2001 av Mark Kerfi och Dennis Groves. Från slutet av 2003 fungerade Jeff Williams som OWASP volontärordförande fram till september 2011. Nuvarande ordförande är Michael Coates och vice ordförande är Eoin Kiri . OWASP Foundation, en 501(c)(3) -organisation (i USA) etablerades 2004 och stöder OWASP-projekt och infrastruktur. OWASP tjänar inte de personliga målen för sina ledare, utan spridningen av kunskap.

OWASP-ledare är ansvariga för att fatta beslut om teknisk inriktning, projektprioriteringar, scheman och produktsläpp.

I allmänhet kan OWASP-ledare uppfattas som ledningen för OWASP Foundation.

OWASP har officiellt 8 anställda, vilket innebär att projektet har extremt låga kostnader som täcks av konferenser, företagssponsorer och reklam. OWASP delar ut årliga bidrag till företag och enskilda medlemmar för utveckling av lovande säkerhetsapplikationer.

Sedan 2011 har OWASP varit registrerad som en ideell organisation i Belgien under namnet OWASP Europe VZW.

Utmärkelser

• 2014 - SC Magazine Utmärkelser [10] .

Se även

• Datorsäkerhet
• Kali Linux
• säkerhetsbugg

Anteckningar

1. ↑ OWASP vägleder projekterar - OWASP . Hämtad 25 maj 2013. Arkiverad från originalet 7 maj 2013. (obestämd)
2. ↑ Kategori:OWASP kodifierar granskar projekterar - OWASP . Hämtad 25 maj 2013. Arkiverad från originalet 1 maj 2013. (obestämd)
3. ↑ http://www.owasp.org/index.php/OWASP_Top_Ten_Project Arkiverad 7 maj 2013 på Wayback Machine OWASP
4. ↑ http://www.owasp.org/index.php/OWASP_WebGoat_Project Arkiverad 30 april 2013 på Wayback Machine WebGoat
5. ↑ Kategori:OWASP WebScarab Project - OWASP . Hämtad 25 maj 2013. Arkiverad från originalet 7 maj 2013. (obestämd)
6. ↑ http://www.owasp.org/index.php/Category:OWASP_.NET_Project Arkiverad 26 april 2013 på OWASP Wayback Machine
7. ↑ OWASP Kapitel - OWASP . Hämtad 25 maj 2013. Arkiverad från originalet 26 april 2013. (obestämd)
8. ↑ Kategori:OWASP AppSec Conference - OWASP . Hämtad 25 maj 2013. Arkiverad från originalet 26 april 2013. (obestämd)
9. ↑ Kategori:OWASP Application Security Verification Standard Project - OWASP . Hämtad 25 maj 2013. Arkiverad från originalet 10 maj 2013. (obestämd)
10. ↑ Vinnare | SC Magazine Awards

Länkar

• OWASP-projekt
• Sida för den ryska grenen av OWASP
• En artikel om Top 10-projektet
• OWASP Application Security Verification Standard (ASVS)
• Skriva säkerhetskod (MS Press) ISBN 0-7356-1722-8
• Hot och motåtgärder (MSDN)
• Översättning av OWASP-metoden till ryska.
• Översättning och anpassning av OWASP Mobile Top 10 till ryska.