Project Application Security Open Web ( OWASP ) представляет собой интернет - сообщество , которое производит свободно доступные статьи, методики, документацию, инструменты и технологии в области безопасности веб - приложениях . [4] [5]
Основан | 2001 [1] |
---|---|
Основатель | Марк Керфи [1] |
Тип | 501 (c) (3) Некоммерческая организация |
Фокус | Веб-безопасность, Безопасность приложений, Оценка уязвимости |
Методика | Отраслевые стандарты, конференции, семинары |
Совет директоров | Мартин Кноблох, председатель; Оуэн Пендлбери, заместитель председателя; Шериф Мансур, казначей; Офер Маор, секретарь; Чэньси Ван; Ричард Гринберг; Гэри Робинсон |
Ключевые люди | Майк МакКамон, временный исполнительный директор; Келли Санталусиа, директор по корпоративной поддержке; Гарольд Бланкеншип, директор по проектам и технологиям; Дон Эйткен, менеджер сообщества; Лиза Джонс, менеджер по проектам и спонсорству; Мэтт Тезауро, директор по сообществу и операциям |
Выручка (2017) | 2,3 миллиона долларов [2] |
Сотрудники | 700 (2017) [3] |
Волонтеры | ок. 13 000 (2017) [3] |
Веб-сайт | owasp |
История
Марк Керфи основал OWASP 9 сентября 2001 года. [1] Джефф Уильямс был добровольным председателем OWASP с конца 2003 года по сентябрь 2011 года. По состоянию на 2015 год.[Обновить]Мэтт Конда возглавил Правление. [6]
Фонд OWASP, некоммерческая организация 501 (c) (3) в США, основанная в 2004 году, поддерживает инфраструктуру и проекты OWASP. С 2011 года OWASP также зарегистрирована как некоммерческая организация в Бельгии под названием OWASP Europe VZW. [7]
Публикации и ресурсы
- Десять лучших по версии OWASP: «Десять лучших», впервые опубликованная в 2003 году, регулярно обновляется. [8] Он направлен на повышение осведомленности о безопасности приложений путем выявления некоторых из наиболее серьезных рисков, с которыми сталкиваются организации. [9] [10] [11] Многие стандарты, книги, инструменты, и многие организации ссылаются на проект Top 10, включая митру, PCI DSS , [12] агентство Defense Information Systems ( DISA-STIG ), и Соединенные Штаты Федеральная Торговая комиссия (FTC), [13]
- Модель зрелости программы Software Assurance OWASP: проект модели зрелости Software Assurance Model (SAMM) направлен на создание удобной структуры, которая поможет организациям сформулировать и реализовать стратегию безопасности приложений, адаптированную к конкретным бизнес-рискам, с которыми сталкивается организация.
- Руководство по разработке OWASP: Руководство по разработке содержит практические рекомендации и включает образцы кода J2EE, ASP.NET и PHP. Руководство разработчика охватывает широкий спектр проблем безопасности на уровне приложений, от внедрения SQL до современных проблем, таких как фишинг, обработка кредитных карт, фиксация сеанса, подделка межсайтовых запросов, соответствие требованиям и вопросы конфиденциальности.
- OWASP Testing Guide: OWASP Testing Guide включает в себя «передовую» среду тестирования на проникновение, которую пользователи могут реализовать в своих организациях, и «низкоуровневое» руководство по тестированию на проникновение, в котором описаны методы тестирования наиболее распространенных проблем безопасности веб-приложений и веб-служб. Версия 4 была опубликована в сентябре 2014 года при участии 60 человек. [14]
- Руководство по обзору кода OWASP: руководство по обзору кода в настоящее время находится в версии 2.0, выпущенной в июле 2017 года.
- Стандарт проверки безопасности приложений OWASP (ASVS): стандарт для выполнения проверок безопасности на уровне приложений. [15]
- Проект критериев оценки шлюза безопасности XML (XSG) OWASP. [16]
- OWASP Top 10 Руководство по реагированию на инциденты. Этот проект обеспечивает проактивный подход к планированию реагирования на инциденты. Целевая аудитория этого документа включает владельцев бизнеса, инженеров по безопасности, разработчиков, аудиторов, руководителей программ, правоохранительные органы и юридический совет. [17]
- Проект OWASP ZAP: Zed Attack Proxy (ZAP) - это простой в использовании интегрированный инструмент тестирования на проникновение для поиска уязвимостей в веб-приложениях. Он предназначен для использования людьми с широким спектром опыта в области безопасности, включая разработчиков и функциональных тестеров, которые плохо знакомы с тестированием на проникновение.
- Webgoat: намеренно небезопасное веб-приложение, созданное OWASP в качестве руководства по безопасному программированию. [1] После загрузки приложение поставляется с учебным пособием и набором различных уроков, в которых учащимся рассказывается, как использовать уязвимости с целью научить их безопасному написанию кода.
- OWASP AppSec Pipeline: Проект Rugged DevOps Pipeline Project Security (AppSec) - это место, где можно найти информацию, необходимую для повышения скорости и автоматизации программы безопасности приложений. AppSec Pipelines использует принципы DevOps и Lean и применяет их к программе безопасности приложений. [18]
- OWASP Automated Threats to Web Applications: опубликовано в июле 2015 года [19] - проект OWASP Automated Threats to Web Applications Project направлен на предоставление исчерпывающей информации и других ресурсов для архитекторов, разработчиков, тестировщиков и других лиц, чтобы помочь защититься от автоматических угроз, таких как заполнение учетных данных . В проекте представлены 20 основных автоматических угроз по определению OWASP. [20]
- OWASP API Security Project: фокусируется на стратегиях и решениях для понимания и смягчения уникальных уязвимостей и рисков безопасности интерфейсов прикладного программирования (API). Включает последний список 10 лучших по безопасности API за 2019 год. [21]
Награды
Организация OWASP получила награду «Выбор редактора журнала SC» от Haymarket Media Group в 2014 году . [5] [22]
Смотрите также
Рекомендации
- ^ a b c d Huseby, Sverre (2004). Невинный код: тревожный звонок для веб-программистов . Вайли. п. 203 . ISBN 0470857447.
- ^ "OWASP FOUNDATION INC" . Некоммерческий исследователь . ProPublica . Проверено 8 января 2020 года .
- ^ а б «Форма 990 OWASP Foundation за финансовый год, заканчивающийся в декабре 2017 года» . 26 октября 2018 . Получено 8 января 2020 г. - через ProPublica Nonprofit Explorer.
- ^ «Топ-10 уязвимостей OWASP» . developerWorks . IBM. 20 апреля 2015 года . Проверено 28 ноября 2015 года .
- ^ а б «SC Magazine Awards 2014» (PDF) . Media.scmagazine.com. Архивировано из оригинального (PDF) 22 сентября 2014 года . Проверено 3 ноября 2014 года .
- ↑ Board Архивировано 16 сентября 2017 г., в Wayback Machine . OWASP. Проверено 27 февраля 2015.
- ^ OWASP Европа , OWASP, 2016
- ^ Десять лучших проектов OWASP на owasp.org
- ^ Треватан, Мэтт (1 октября 2015 г.). «Семь лучших практик Интернета вещей» . База данных и сетевой журнал . Архивировано из оригинального 28 ноября 2015 года . Проверено 28 ноября 2015 г. - через - через HighBeam (требуется подписка) .
- ^ Кросман, Пенни (24 июля 2015 г.). «Дырявые веб-сайты банков допускают кликджекинг, другие угрозы проникают внутрь» . Американский банкир . Архивировано из оригинального 28 ноября 2015 года . Проверено 28 ноября 2015 г. - через - через HighBeam (требуется подписка) .
- ^ Паули, Даррен (4 декабря 2015 г.). «Руководители Infosec оценивают языки приложений; найдите« короля »Java, поместите PHP в корзину» . Реестр . Проверено 4 декабря 2015 года .
- ^ «Стандарт безопасности данных индустрии платежных карт (PCI)» (PDF) . Совет по стандартам безопасности PCI. Ноябрь 2013. с. 55 . Проверено 3 декабря 2015 года .
- ^ «Топ-10 проектов по обеспечению безопасности открытых веб-приложений (Топ-10 OWASP)» . База данных знаний. Synopsys . Synopsys, Inc. 2017 . Проверено 20 июля 2017 года .
Многие организации, включая Совет по стандартам безопасности PCI, Национальный институт стандартов и технологий (NIST) и Федеральную торговую комиссию (FTC), регулярно ссылаются на OWASP Top 10 как на неотъемлемое руководство по снижению уязвимостей веб-приложений и соблюдению нормативных требований.
- ^ Паули, Даррен (18 сентября 2014 г.). «Всеобъемлющее руководство по уничтожению веб-приложений опубликовано» . Реестр . Проверено 28 ноября 2015 года .
- ^ Баар, Ганс; Smulters, Андре; Hintzbergen, Juls; Хинцберген, Кеес (2015). Основы информационной безопасности на основе ISO27001 и ISO27002 (3-е изд.). Ван Харен. п. 144. ISBN 9789401800129.
- ^ «Категория: Последний проект критериев оценки шлюза безопасности XML OWASP» . Owasp.org. Архивировано из оригинала 3 ноября 2014 года . Проверено 3 ноября 2014 года .
- ^ «Архивная копия» . Архивировано из оригинала 6 апреля 2019 года . Проверено 12 декабря 2015 года .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ «OWASP AppSec Pipeline» . Откройте проект безопасности веб-приложений (OWASP) . Проверено 26 февраля 2017 года .
- ^ «АВТОМАТИЧЕСКИЕ УГРОЗЫ для веб-приложений» (PDF) . OWASP. Июль 2015 г.
- ^ Список автоматических событий угроз
- ^ «Проект безопасности API OWASP - 10 лучших в 2019 году по безопасности API» . OWASP .
- ^ «Победители | SC Magazine Awards» . Awards.scmagazine.com. Архивировано из оригинального 20 -го августа 2014 года . Проверено 17 июля 2014 года .
Выбор редакции [...] Победитель: OWASP Foundation
Внешние ссылки
- Официальный веб-сайт