Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
OWASP
OWASP Logo.png
Основан2001 [1]
ОсновательМарк Керфи [1]
Тип501 (c) (3) Некоммерческая организация
ФокусВеб-безопасность, Безопасность приложений, Оценка уязвимости
МетодикаОтраслевые стандарты, конференции, семинары
Мартин Кноблох, председатель; Оуэн Пендлбери, заместитель председателя; Шериф Мансур, казначей; Офер Маор, секретарь; Чэньси Ван; Ричард Гринберг; Гэри Робинсон
Ключевые люди
Майк МакКамон, временный исполнительный директор; Келли Санталусиа, ​​директор по корпоративной поддержке; Гарольд Бланкеншип, директор по проектам и технологиям; Дон Эйткен, менеджер сообщества; Лиза Джонс, менеджер по проектам и спонсорству; Мэтт Тезауро, директор по сообществу и операциям
Выручка (2017)
Снижаться2,3 миллиона долларов [2]
Сотрудники
700 (2017) [3]
Волонтеры
ок. 13 000 (2017) [3]
Интернет сайтowasp .org

Project Application Security Open Web ( OWASP ) представляет собой интернет - сообщество , которое производит свободно доступные статьи, методики, документацию, инструменты и технологии в области безопасности веб - приложениях . [4] [5]

История [ править ]

Марк Карфи основал OWASP 9 сентября 2001 года. [1] Джефф Уильямс был добровольным председателем OWASP с конца 2003 года по сентябрь 2011 года. С 2015 года Мэтт Конда возглавлял Совет. [6]

Фонд OWASP, некоммерческая организация 501 (c) (3) в США, основанная в 2004 году, поддерживает инфраструктуру и проекты OWASP. С 2011 года OWASP также зарегистрирована как некоммерческая организация в Бельгии под названием OWASP Europe VZW. [7]

Публикации и ресурсы [ править ]

  • Десять лучших по версии OWASP: «Десять лучших», впервые опубликованная в 2003 году, регулярно обновляется. [8] Он направлен на повышение осведомленности о безопасности приложений путем выявления некоторых из наиболее серьезных рисков, с которыми сталкиваются организации. [9] [10] [11] Многие стандарты, книги, инструменты и организации ссылаются на проект Top 10, включая митру, PCI DSS , [12] Defense Agency Information Systems ( DISA-STIG ), США Федеральная комиссия по торговле (FTC), [13] и многие другие [ количественно ] .
  • Модель зрелости программы Software Assurance OWASP: проект модели зрелости Software Assurance Model (SAMM) направлен на создание удобной структуры, которая поможет организациям сформулировать и реализовать стратегию безопасности приложений, адаптированную к конкретным бизнес-рискам, с которыми сталкивается организация.
  • Руководство по разработке OWASP: Руководство по разработке содержит практические рекомендации и включает образцы кода J2EE, ASP.NET и PHP. Руководство разработчика охватывает широкий спектр проблем безопасности на уровне приложений, от внедрения SQL до современных проблем, таких как фишинг, обработка кредитных карт, фиксация сеанса, подделка межсайтовых запросов, соответствие требованиям и вопросы конфиденциальности.
  • OWASP Testing Guide: OWASP Testing Guide включает в себя «передовую» среду тестирования на проникновение, которую пользователи могут реализовать в своих организациях, и «низкоуровневое» руководство по тестированию на проникновение, в котором описаны методы тестирования наиболее распространенных проблем безопасности веб-приложений и веб-сервисов. Версия 4 была опубликована в сентябре 2014 года при участии 60 человек. [14]
  • Руководство по обзору кода OWASP: руководство по обзору кода в настоящее время находится в версии 2.0, выпущенной в июле 2017 года.
  • Стандарт проверки безопасности приложений OWASP (ASVS): стандарт для выполнения проверок безопасности на уровне приложений. [15]
  • Проект критериев оценки шлюза безопасности XML (XSG) OWASP. [16]
  • OWASP Top 10 Руководство по реагированию на инциденты. Этот проект обеспечивает проактивный подход к планированию реагирования на инциденты. Целевая аудитория этого документа включает владельцев бизнеса, инженеров по безопасности, разработчиков, аудиторов, руководителей программ, правоохранительные органы и юридический совет. [17]
  • Проект OWASP ZAP: Zed Attack Proxy (ZAP) - это простой в использовании интегрированный инструмент тестирования на проникновение для поиска уязвимостей в веб-приложениях. Он предназначен для использования людьми с широким спектром опыта в области безопасности, включая разработчиков и функциональных тестировщиков, которые плохо знакомы с тестированием на проникновение.
  • Webgoat: намеренно небезопасное веб-приложение, созданное OWASP в качестве руководства по безопасному программированию. [1] После загрузки приложение поставляется с учебным пособием и набором различных уроков, в которых учащимся рассказывается, как использовать уязвимости с целью научить их безопасному написанию кода.
  • OWASP AppSec Pipeline: Проект Rugged DevOps Pipeline Project Security (AppSec) - это место, где можно найти информацию, необходимую для повышения скорости и автоматизации программы безопасности приложений. AppSec Pipelines использует принципы DevOps и Lean и применяет их к программе безопасности приложений. [18]
  • OWASP Automated Threats to Web Applications: опубликовано в июле 2015 года [19] - проект OWASP Automated Threats to Web Applications Project направлен на предоставление исчерпывающей информации и других ресурсов для архитекторов, разработчиков, тестировщиков и других лиц, чтобы помочь защититься от автоматических угроз, таких как заполнение учетных данных . В проекте представлены 20 основных автоматических угроз по определению OWASP. [20]
  • OWASP API Security Project: фокусируется на стратегиях и решениях для понимания и смягчения уникальных уязвимостей и рисков безопасности интерфейсов прикладного программирования (API). Включает последний список 10 лучших по безопасности API за 2019 год. [21]

Награды [ править ]

Организация OWASP получила награду «Выбор редактора журнала SC» от Haymarket Media Group в 2014 году . [5] [22]

См. Также [ править ]

  • Фонд безопасности с открытым исходным кодом

Ссылки [ править ]

  1. ^ a b c d Huseby, Sverre (2004). Невинный код: тревожный звонок для веб-программистов . Вайли. п. 203 . ISBN 0470857447.
  2. ^ "OWASP FOUNDATION INC" . Некоммерческий исследователь . ProPublica . Проверено 8 января 2020 года .
  3. ^ a b «Форма 990 OWASP Foundation за финансовый год, заканчивающийся в декабре 2017 года» . 26 октября 2018 . Получено 8 января 2020 г. - через ProPublica Nonprofit Explorer.
  4. ^ «10 основных уязвимостей OWASP» . developerWorks . IBM. 20 апреля 2015 года . Проверено 28 ноября 2015 года .
  5. ^ a b «SC Magazine Awards 2014» (PDF) . Media.scmagazine.com. Архивировано из оригинального (PDF) 22 сентября 2014 года . Проверено 3 ноября 2014 года .
  6. Board Архивировано 16 сентября 2017 г., в Wayback Machine . OWASP. Проверено 27 февраля 2015.
  7. ^ OWASP Европа , OWASP, 2016
  8. ^ Десять лучших проектов OWASP на owasp.org
  9. ^ Треватан, Мэтт (1 октября 2015). «Семь лучших практик Интернета вещей» . База данных и сетевой журнал . Архивировано из оригинального 28 ноября 2015 года . Проверено 28 ноября 2015 г. - через - через  HighBeam (требуется подписка) .
  10. ^ Crosman, Пенни (24 июля 2015). «Дырявые веб-сайты банков допускают кликджекинг, другие угрозы проникают внутрь» . Американский банкир . Архивировано из оригинального 28 ноября 2015 года . Проверено 28 ноября 2015 г. - через - через  HighBeam (требуется подписка) .
  11. Паули, Даррен (4 декабря 2015 г.). «Руководители Infosec оценивают языки приложений; найдите« короля »Java, поместите PHP в корзину» . Реестр . Проверено 4 декабря 2015 года .
  12. ^ «Стандарт безопасности данных индустрии платежных карт (PCI)» (PDF) . Совет по стандартам безопасности PCI. Ноябрь 2013. с. 55 . Проверено 3 декабря 2015 года .
  13. ^ «10 лучших проектов по обеспечению безопасности веб-приложений (10 лучших по OWASP)» . База данных знаний. Synopsys . Synopsys, Inc. 2017 . Проверено 20 июля 2017 года . Многие организации, включая Совет по стандартам безопасности PCI, Национальный институт стандартов и технологий (NIST) и Федеральную торговую комиссию (FTC), регулярно ссылаются на OWASP Top 10 как на неотъемлемое руководство по снижению уязвимостей веб-приложений и соблюдению нормативных требований.
  14. Паули, Даррен (18 сентября 2014 г.). «Всеобъемлющее руководство по уничтожению веб-приложений опубликовано» . Реестр . Проверено 28 ноября 2015 года .
  15. ^ Баар, Ганс; Smulters, Андре; Hintzbergen, Juls; Хинцберген, Кеес (2015). Основы информационной безопасности на основе ISO27001 и ISO27002 (3-е изд.). Ван Харен. п. 144. ISBN 9789401800129.
  16. ^ «Категория: Последний проект критериев оценки шлюза безопасности XML OWASP» . Owasp.org. Архивировано из оригинала 3 ноября 2014 года . Проверено 3 ноября 2014 года .
  17. ^ "Архивная копия" . Архивировано из оригинала 6 апреля 2019 года . Проверено 12 декабря 2015 года .CS1 maint: заархивированная копия как заголовок ( ссылка )
  18. ^ «OWASP AppSec Pipeline» . Откройте проект безопасности веб-приложений (OWASP) . Проверено 26 февраля 2017 года .
  19. ^ «АВТОМАТИЧЕСКИЕ УГРОЗЫ для веб-приложений» (PDF) . OWASP. Июль 2015 г.
  20. ^ Список автоматических событий угроз
  21. ^ «Проект безопасности API OWASP - 10 лучших приложений безопасности 2019 года» . OWASP .
  22. ^ "Победители | Награды журнала SC" . Awards.scmagazine.com. Архивировано из оригинального 20 -го августа 2014 года . Проверено 17 июля 2014 года . Выбор редакции [...] Победитель: OWASP Foundation

Внешние ссылки [ править ]

  • Официальный веб-сайт