ОВАСП
Судя по всему, основной автор этой статьи тесно связан с ее предметом. ( декабрь 2022 г. ) |
Основан | 2001 [ 1 ] |
---|---|
Основатель | Марк Керфи [ 1 ] |
Тип | 501(c)(3) некоммерческая организация |
Фокус | Веб-безопасность, безопасность приложений, оценка уязвимостей |
Метод | Отраслевые стандарты, конференции, семинары |
Ави Дуглен, председатель; Мэтт Тезауро, заместитель председателя; Бил Корри, казначей; Рикардо Гриффит, секретарь; Кевин Джонсон, член по особым поручениям; Сэм Степанян, член по особым поручениям; Стив Спрингетт, член по особым поручениям [ 2 ] | |
Ключевые люди | Эндрю ван дер Сток, исполнительный директор; Келли Санталюсия, директор по мероприятиям и корпоративной поддержке; Гарольд Бланкеншип, директор по технологиям и проектам; Джейсон К. Макдональд, директор по развитию сообщества; Дон Эйткен, операционный менеджер; Лорен Томас, координатор мероприятий [ 3 ] |
Доход (2017) | 2,3 миллиона долларов [ 4 ] |
Сотрудники | 0 (2020) [ 5 ] |
Волонтёры | ок. 13 000 (2017) [ 6 ] |
Веб-сайт | оса |
Открытый всемирный проект безопасности приложений [ 7 ] ( OWASP ) — это онлайн-сообщество, которое производит свободно доступные статьи, методологии, документацию, инструменты и технологии в области Интернета вещей, системного программного обеспечения и безопасности веб-приложений . [ 8 ] [ 9 ] [ 10 ] OWASP предоставляет бесплатные и открытые ресурсы. Его возглавляет некоммерческая организация The OWASP Foundation. Рейтинг OWASP Top 10 – 2021 — это опубликованный результат недавнего исследования, основанного на комплексных данных, собранных более чем 40 партнерскими организациями.
История
[ редактировать ]Марк Керфи основал OWASP 9 сентября 2001 года. [ 1 ] Джефф Уильямс был председателем-добровольцем OWASP с конца 2003 г. по сентябрь 2011 г. По состоянию на 2015 г. [update], Мэтт Конда возглавил Совет. [ 11 ]
Фонд OWASP, некоммерческая организация 501(c)(3) в США, созданная в 2004 году, поддерживает инфраструктуру и проекты OWASP. С 2011 года OWASP также зарегистрирована как некоммерческая организация в Бельгии под названием OWASP Europe VZW. [ 12 ]
В феврале 2023 года об этом сообщил Бил Корри, член глобального совета директоров OWASP Foundation: [ 13 ] в Твиттере [ 7 ] что правление проголосовало за переименование Open Web Application Security Project в его нынешнее название, заменив Web на Worldwide.
Публикации и ресурсы
[ редактировать ]- Десять лучших OWASP: «Десять лучших», впервые опубликованная в 2003 году, регулярно обновляется. [ 14 ] Целью проекта является повышение осведомленности о безопасности приложений путем выявления некоторых наиболее критических рисков, с которыми сталкиваются организации. [ 15 ] [ 16 ] [ 17 ] Многие стандарты, книги, инструменты и многие организации ссылаются на проект Top 10, включая MITRE, PCI DSS , [ 18 ] Агентство оборонных информационных систем ( DISA-STIG США ) и Федеральная торговая комиссия (FTC), [ 19 ]
- Модель зрелости Software Assurance Maturance OWASP. Миссия проекта модели зрелости Software Assurance (SAMM) — предоставить организациям всех типов эффективный и измеримый способ анализа и улучшения состояния безопасности своего программного обеспечения. Основная цель — повысить осведомленность и обучить организации тому, как проектировать, разрабатывать и развертывать безопасное программное обеспечение с помощью гибкой модели самооценки. SAMM поддерживает полный жизненный цикл программного обеспечения и не зависит от технологий и процессов. Модель SAMM по своей природе является развивающейся и ориентированной на риск, признавая, что не существует единого рецепта, который работал бы для всех организаций. [ 20 ]
- Руководство по разработке OWASP. Руководство по разработке содержит практические рекомендации и включает примеры кода J2EE, ASP.NET и PHP. Руководство по разработке охватывает широкий спектр проблем безопасности на уровне приложений, от внедрения SQL-кода до современных проблем, таких как фишинг, обработка кредитных карт, фиксация сеанса, подделка межсайтовых запросов, вопросы соответствия требованиям и конфиденциальности.
- Руководство по тестированию OWASP: Руководство по тестированию OWASP включает в себя структуру тестирования на проникновение «лучших практик», которую пользователи могут внедрить в своих организациях, а также руководство по тестированию на проникновение «низкого уровня», в котором описываются методы тестирования наиболее распространенных проблем безопасности веб-приложений и веб-сервисов. Версия 4 была опубликована в сентябре 2014 года при участии 60 человек. [ 21 ]
- Руководство по проверке кода OWASP. Руководство по проверке кода в настоящее время находится в версии 2.0, выпущенной в июле 2017 года.
- Стандарт проверки безопасности приложений OWASP (ASVS): стандарт для выполнения проверок безопасности на уровне приложений. [ 22 ]
- Проект критериев оценки шлюза безопасности OWASP XML (XSG). [ 23 ]
- Топ-10 руководств OWASP по реагированию на инциденты. Этот проект обеспечивает упреждающий подход к планированию реагирования на инциденты. Целевая аудитория этого документа включает владельцев бизнеса, инженеров по безопасности, разработчиков, специалистов по аудиту, менеджеров программ, правоохранительных органов и юридических консультантов. [ 24 ]
- Проект OWASP ZAP: Zed Attack Proxy (ZAP) — это простой в использовании интегрированный инструмент тестирования на проникновение для поиска уязвимостей в веб-приложениях. Он предназначен для использования людьми с широким спектром опыта в области безопасности, включая разработчиков и функциональных тестировщиков, которые плохо знакомы с тестированием на проникновение.
- Webgoat: намеренно небезопасное веб-приложение, созданное OWASP в качестве руководства по безопасному программированию. [ 1 ] После загрузки приложение поставляется с учебным пособием и набором различных уроков, которые учат студентов, как использовать уязвимости, с целью научить их безопасному написанию кода.
- OWASP AppSec Pipeline: проект Application Security (AppSec) Rugged DevOps Pipeline — это место, где можно найти информацию, необходимую для повышения скорости и автоматизации программы безопасности приложений. Конвейеры AppSec используют принципы DevOps и Lean и применяют их к программе безопасности приложений. [ 25 ]
- для веб-приложений OWASP Автоматизированные угрозы : опубликовано в июле 2015 г. [ 26 ] - Проект OWASP по автоматизированным угрозам для веб-приложений направлен на предоставление исчерпывающей информации и других ресурсов архитекторам, разработчикам, тестировщикам и другим лицам, которые помогут защититься от автоматических угроз, таких как подмена учетных данных . В проекте представлены 20 основных автоматизированных угроз по определению OWASP. [ 27 ]
- Проект OWASP API Security: фокусируется на стратегиях и решениях для понимания и смягчения уникальных уязвимостей и рисков безопасности интерфейсов прикладного программирования (API). Включает самый последний список API Security Top 10 2023. [ 28 ]
Награды
[ редактировать ]Организация OWASP получила журнала Haymarket Media Group SC Magazine» в 2014 году. награду «Выбор редакции [ 9 ] [ 29 ]
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Jump up to: а б с д Хасеби, Сверре (2004). Невинный код: сигнал тревоги для веб-программистов . Уайли. п. 203 . ISBN 0470857447 .
- ^ «Глобальный совет Фонда OWASP» . ОВАСП. 14 февраля 2023 г. . Проверено 20 марта 2023 г.
- ^ «Сотрудники Фонда OWASP» . ОВАСП. 12 февраля 2023 г. . Проверено 3 мая 2022 г.
- ^ «ОВАСП ФОНДЕЙШН ИНК» . Некоммерческий исследователь . ПроПублика . 9 мая 2013 года . Проверено 8 января 2020 г.
- ^ «Форма 990 Фонда OWASP за финансовый год, заканчивающийся в декабре 2020 года» . 29 октября 2021 г. . Получено 18 января 2023 г. - через ProPublica Nonprofit Explorer.
- ^ «Форма 990 Фонда OWASP за финансовый год, заканчивающийся в декабре 2017 г.» . 26 октября 2018 года . Получено 8 января 2020 г. через ProPublica Nonprofit Explorer.
- ^ Jump up to: а б Корри, Бил [@bilcorry] (25 февраля 2023 г.). «Изменение, которое вы могли заметить в @owasp: Правление проголосовало за изменение буквы «W» с «Web» на «Worldwide», сделав его «Открытым всемирным проектом безопасности приложений» » ( твит ) . Проверено 7 июля 2024 г. - через Twitter .
- ^ «Топ-10 уязвимостей OWASP» . РазработчикWorks . ИБМ. 20 апреля 2015 года . Проверено 28 ноября 2015 г.
- ^ Jump up to: а б «Награды журнала SC Magazine 2014» (PDF) . Media.scmagazine.com. Архивировано из оригинала (PDF) 22 сентября 2014 года . Проверено 3 ноября 2014 г.
- ^ «OWASP Интернет вещей» . Проверено 26 декабря 2023 г.
- ^ "Доска" . ОВАСП . Архивировано из оригинала 16 сентября 2017 года . Проверено 27 февраля 2015 г.
- ^ «ОВАСП Европа» . ОВАСП . Архивировано из оригинала 17 апреля 2016 года . Проверено 7 июля 2024 г.
- ^ «Глобальный Совет» . owasp.org . Архивировано из оригинала 29 апреля 2024 года . Проверено 7 июля 2024 г.
- ^ «Десять лучших OWASP» . owasp.org . Архивировано из оригинала 6 июля 2024 года . Проверено 7 июля 2024 г.
- ^ Треватан, Мэтт (1 октября 2015 г.). «Семь лучших практик Интернета вещей» . База данных и сетевой журнал . Архивировано из оригинала 28 ноября 2015 года.
- ^ Кросман, Пенни (24 июля 2015 г.). «Дырявые банковские веб-сайты позволяют проникать кликджекингу и другим угрозам» . Американский банкир . Архивировано из оригинала 28 ноября 2015 года.
- ^ Паули, Даррен (4 декабря 2015 г.). «Компания Infosec оценивает языки приложений; найдите «короля» Java и положите PHP в корзину» . Регистр . Проверено 4 декабря 2015 г.
- ^ «Стандарт безопасности данных индустрии платежных карт (PCI)» (PDF) . Совет по стандартам безопасности PCI. Ноябрь 2013. с. 55 . Проверено 3 декабря 2015 г.
- ^
«10 лучших проектов по безопасности открытых веб-приложений (10 лучших OWASP)» . База знаний. Синопсис . Синопсис, Инк. 2017 . Проверено 20 июля 2017 г.
Многие организации, в том числе Совет по стандартам безопасности PCI, Национальный институт стандартов и технологий (NIST) и Федеральная торговая комиссия (FTC), регулярно ссылаются на Топ-10 OWASP как на комплексное руководство по устранению уязвимостей веб-приложений и обеспечению соответствия требованиям.
- ^ «Что такое OWASP SAMM?» . ОВАСП САММ . Проверено 6 ноября 2022 г.
- ^ Паули, Даррен (18 сентября 2014 г.). «Опубликовано комплексное руководство по уничтожению веб-приложений» . Регистр . Проверено 28 ноября 2015 г.
- ^ Барр, Ганс; Смалтерс, другие; Хинцберген, Юлс; Хинцберген, Кейс (2015). Основы информационной безопасности на основе ISO27001 и ISO27002 (3-е изд.). Ван Харен. п. 144. ИСБН 9789401800129 .
- ^ «Категория: Последний проект по критериям оценки шлюза безопасности XML OWASP» . Owasp.org. Архивировано из оригинала 3 ноября 2014 года . Проверено 3 ноября 2014 г.
- ^ «Проект реагирования на инциденты OWASP — OWASP» . Архивировано из оригинала 6 апреля 2019 года . Проверено 12 декабря 2015 г.
- ^ «Конвейер OWASP AppSec» . Открытый проект безопасности веб-приложений (OWASP) . Архивировано из оригинала 18 января 2020 года . Проверено 26 февраля 2017 г.
- ^ «АВТОМАТИЗИРОВАННЫЕ УГРОЗЫ для веб-приложений» (PDF) . ОВАСП. Июль 2015.
- ^ «Автоматические угрозы OWASP для веб-приложений» . owasp.org . Архивировано из оригинала 29 июня 2024 года . Проверено 7 июля 2024 г.
- ^ «Проект безопасности OWASP API — Фонд OWASP» . ОВАСП .
- ^
«Победители | SC Magazine Awards» . Awards.scmagazine.com. Архивировано из оригинала 20 августа 2014 года . Проверено 17 июля 2014 г.
Выбор редакции [...] Победитель: Фонд OWASP