OWASP - OWASP

OWASP
OWASP Logo.png
Основан2001[1]
ОсновательМарк Кёрфи[1]
Тип501 (с) (3) Некоммерческая организация
ФокусВеб-безопасность, Безопасность приложений, Оценка уязвимости
МетодОтраслевые стандарты, конференции, семинары
Мартин Кноблох, председатель; Оуэн Пендлбери, заместитель председателя; Шериф Мансур, казначей; Офер Маор, секретарь; Чэньси Ван; Ричард Гринберг; Гэри Робинсон
Ключевые люди
Майк МакКамон, временный исполнительный директор; Келли Санталусиа, ​​директор по корпоративной поддержке; Гарольд Бланкеншип, директор по проектам и технологиям; Доун Эйткен, менеджер сообщества; Лиза Джонс, менеджер по проектам и спонсорству; Мэтт Тезауро, директор по сообществу и операциям
Доход (2017)
Снижаться 2,3 миллиона долларов[2]
Сотрудники
7 (2017)[3]
Волонтеры
ок. 13000 (2017)[3]
Интернет сайтowasp.org

В Открыть проект безопасности веб-приложений (OWASP) - это онлайн-сообщество, которое выпускает в свободном доступе статьи, методологии, документацию, инструменты и технологии в области безопасность веб-приложений.[4][5]

История

Марк Карфи основал OWASP 9 сентября 2001 года.[1] Джефф Уильямс был председателем-волонтером OWASP с конца 2003 г. до сентября 2011 г. По состоянию на 2015 г.Мэтт Конда возглавил Совет.[6]

Фонд OWASP, некоммерческая организация 501 (c) (3) в США, основанная в 2004 году, поддерживает инфраструктуру и проекты OWASP. С 2011 года OWASP также зарегистрирована как некоммерческая организация в Бельгии под названием OWASP Europe VZW.[7]

Публикации и ресурсы

  • OWASP Top Ten: «Десять лучших», впервые опубликованная в 2003 году, регулярно обновляется.[8] Он направлен на повышение осведомленности о безопасности приложений путем выявления некоторых из наиболее серьезных рисков, с которыми сталкиваются организации.[9][10][11] Многие стандарты, книги, инструменты и организации ссылаются на Топ-10 проектов, включая MITER, PCI DSS,[12] в Агентство оборонных информационных систем (ДИСА-СТИГ ), Соединенные Штаты Федеральная торговая комиссия (FTC),[13] и много[количественно оценить ] более.
  • Модель зрелости программы Software Assurance OWASP: Проект модели зрелости Software Assurance (SAMM) направлен на создание удобной структуры, которая поможет организациям сформулировать и реализовать стратегию безопасности приложений, адаптированную к конкретным бизнес-рискам, с которыми сталкивается организация.
  • Руководство по разработке OWASP: Руководство по разработке содержит практические рекомендации и включает образцы кода J2EE, ASP.NET и PHP. Руководство разработчика охватывает широкий спектр проблем безопасности на уровне приложений, от внедрения SQL до современных проблем, таких как фишинг, обработка кредитных карт, фиксация сеанса, подделка межсайтовых запросов, соответствие требованиям и вопросы конфиденциальности.
  • OWASP Testing Guide: OWASP Testing Guide включает в себя «передовую» среду тестирования на проникновение, которую пользователи могут реализовать в своих организациях, и «низкоуровневое» руководство по тестированию на проникновение, в котором описаны методы тестирования наиболее распространенных проблем безопасности веб-приложений и веб-служб. Версия 4 была опубликована в сентябре 2014 года при участии 60 человек.[14]
  • Руководство по обзору кода OWASP: руководство по обзору кода в настоящее время находится в версии 2.0, выпущенной в июле 2017 года.
  • Стандарт проверки безопасности приложений OWASP (ASVS): стандарт для выполнения проверок безопасности на уровне приложений.[15]
  • Проект критериев оценки шлюза безопасности XML (XSG) OWASP.[16]
  • OWASP Top 10 Руководство по реагированию на инциденты. Этот проект обеспечивает проактивный подход к планированию реагирования на инциденты. Целевая аудитория этого документа включает владельцев бизнеса, инженеров по безопасности, разработчиков, аудиторов, руководителей программ, правоохранительные органы и юридический совет.[17]
  • Проект OWASP ZAP: прокси-сервер атаки Zed (ZAP) - это простой в использовании интегрированный инструмент тестирования на проникновение для поиска уязвимостей в веб-приложениях. Он предназначен для использования людьми с широким спектром опыта в области безопасности, включая разработчиков и функциональных тестировщиков, которые плохо знакомы с тестированием на проникновение.
  • Webgoat: намеренно небезопасное веб-приложение, созданное OWASP в качестве руководства по безопасному программированию.[1] После загрузки приложение поставляется с учебным пособием и набором различных уроков, в которых учащимся рассказывается, как использовать уязвимости с целью обучения их безопасному написанию кода.
  • OWASP AppSec Pipeline: Безопасность приложений (AppSec) Прочный DevOps Pipeline Project - это место, где можно найти информацию, необходимую для повышения скорости и автоматизации программы безопасности приложений. AppSec Pipelines использует принципы DevOps и Lean и применяет их к программе безопасности приложений.[18]
  • OWASP Автоматизированные угрозы в веб-приложения: опубликовано в июле 2015 г.[19] - Проект OWASP Automated Threats to Web Applications Project направлен на предоставление исчерпывающей информации и других ресурсов для архитекторов, разработчиков, тестировщиков и других лиц, чтобы помочь защититься от автоматических угроз, таких как набивка учетных данных. В проекте представлены 20 основных автоматических угроз по определению OWASP.[20]

Награды

Организация OWASP получила 2014 Хеймаркет Медиа Группа Журнал SC Премия "Выбор редакции".[5][21]

Смотрите также

Рекомендации

  1. ^ а б c d Хусеби, Сверре (2004). Innocent Code: тревожный звонок для веб-программистов. Вайли. п.203. ISBN  0470857447.
  2. ^ "OWASP FOUNDATION INC". Некоммерческий исследователь. ProPublica. Получено 8 января, 2020.
  3. ^ а б «Форма 990 OWASP Foundation за финансовый год, заканчивающийся в декабре 2017 года». 26 октября 2018 г.. Получено 8 января, 2020 - через ProPublica Nonprofit Explorer.
  4. ^ «Топ-10 уязвимостей OWASP». developerWorks. IBM. 20 апреля 2015 г.. Получено 28 ноября, 2015.
  5. ^ а б «SC Magazine Awards 2014» (PDF). Media.scmagazine.com. Архивировано из оригинал (PDF) 22 сентября 2014 г.. Получено 3 ноября, 2014.
  6. ^ Доска В архиве 16 сентября 2017 г. Wayback Machine. OWASP. Проверено 27 февраля 2015.
  7. ^ OWASP в Европе, OWASP, 2016
  8. ^ Проект OWASP Top Ten на owasp.org
  9. ^ Треватан, Мэтт (1 октября 2015 г.). «Семь лучших практик для Интернета вещей». База данных и сетевой журнал. Архивировано из оригинал 28 ноября 2015 г.. Получено 28 ноября, 2015 - через - черезДальний свет (требуется подписка).
  10. ^ Кросман, Пенни (24 июля 2015 г.). "Дырявые веб-сайты банков позволяют совершать кликджекинг, на них проникают другие угрозы". Американский банкир. Архивировано из оригинал 28 ноября 2015 г.. Получено 28 ноября, 2015 - через - черезДальний свет (требуется подписка).
  11. ^ Паули, Даррен (4 декабря 2015 г.). "Infosec bods оценивают языки приложений; найдите" короля "Java, поместите PHP в корзину". Реестр. Получено 4 декабря, 2015.
  12. ^ "Стандарт безопасности данных индустрии платежных карт (PCI)" (PDF). Совет по стандартам безопасности PCI. Ноябрь 2013. с. 55. Получено 3 декабря, 2015.
  13. ^ «Топ-10 проектов по обеспечению безопасности открытых веб-приложений (10 лучших по OWASP)». База знаний. Synopsys. Synopsys, Inc. 2017 г.. Получено 20 июля, 2017. Многие организации, включая Совет по стандартам безопасности PCI, Национальный институт стандартов и технологий (NIST) и Федеральную торговую комиссию (FTC), регулярно ссылаются на рейтинг OWASP Top 10 как на неотъемлемое руководство по снижению уязвимостей веб-приложений и соблюдению нормативных требований.
  14. ^ Паули, Даррен (18 сентября 2014 г.). "Подробное руководство по уничтожению веб-приложений опубликовано". Реестр. Получено 28 ноября, 2015.
  15. ^ Баар, Ганс; Smulters, Андре; Hintzbergen, Juls; Хинцберген, Кеес (2015). Основы информационной безопасности на основе ISO27001 и ISO27002 (3-е изд.). Ван Харен. п. 144. ISBN  9789401800129.
  16. ^ «Категория: Последний проект критериев оценки шлюза безопасности XML OWASP». Owasp.org. Архивировано из оригинал 3 ноября 2014 г.. Получено 3 ноября, 2014.
  17. ^ «Архивная копия». Архивировано из оригинал 6 апреля 2019 г.. Получено 12 декабря, 2015.CS1 maint: заархивированная копия как заголовок (связь)
  18. ^ "OWASP AppSec Pipeline". Открытый проект безопасности веб-приложений (OWASP). Получено 26 февраля, 2017.
  19. ^ «АВТОМАТИЧЕСКИЕ УГРОЗЫ для веб-приложений» (PDF). OWASP. Июль 2015 г.
  20. ^ Список автоматических событий угроз
  21. ^ «Победители | SC Magazine Awards». Awards.scmagazine.com. Архивировано из оригинал 20 августа 2014 г.. Получено 17 июля, 2014. Выбор редакции [...] Победитель: Фонд OWASP

внешняя ссылка