Jump to content

ОВАСП

(Перенаправлено из проекта Open Web Application Security Project )
ОВАСП
Основан 2001 [ 1 ]
Основатель Марк Керфи [ 1 ]
Тип 501(c)(3) некоммерческая организация
Фокус Веб-безопасность, безопасность приложений, оценка уязвимостей
Метод Отраслевые стандарты, конференции, семинары
Ави Дуглен, председатель; Мэтт Тезауро, заместитель председателя; Бил Корри, казначей; Рикардо Гриффит, секретарь; Кевин Джонсон, член по особым поручениям; Сэм Степанян, член по особым поручениям; Стив Спрингетт, член по особым поручениям [ 2 ]
Ключевые люди
Эндрю ван дер Сток, исполнительный директор; Келли Санталюсия, директор по мероприятиям и корпоративной поддержке; Гарольд Бланкеншип, директор по технологиям и проектам; Джейсон К. Макдональд, директор по развитию сообщества; Дон Эйткен, операционный менеджер; Лорен Томас, координатор мероприятий [ 3 ]
Доход (2017)
Снижаться 2,3 миллиона долларов [ 4 ]
Сотрудники
0 (2020) [ 5 ]
Волонтёры
ок. 13 000 (2017) [ 6 ]
Веб-сайт оса .org

Открытый всемирный проект безопасности приложений [ 7 ] ( OWASP ) — это онлайн-сообщество, которое производит свободно доступные статьи, методологии, документацию, инструменты и технологии в области Интернета вещей, системного программного обеспечения и безопасности веб-приложений . [ 8 ] [ 9 ] [ 10 ] OWASP предоставляет бесплатные и открытые ресурсы. Его возглавляет некоммерческая организация The OWASP Foundation. Рейтинг OWASP Top 10 – 2021 — это опубликованный результат недавнего исследования, основанного на комплексных данных, собранных более чем 40 партнерскими организациями.

Марк Керфи основал OWASP 9 сентября 2001 года. [ 1 ] Джефф Уильямс был председателем-добровольцем OWASP с конца 2003 г. по сентябрь 2011 г. По состоянию на 2015 г. , Мэтт Конда возглавил Совет. [ 11 ]

Фонд OWASP, некоммерческая организация 501(c)(3) в США, созданная в 2004 году, поддерживает инфраструктуру и проекты OWASP. С 2011 года OWASP также зарегистрирована как некоммерческая организация в Бельгии под названием OWASP Europe VZW. [ 12 ]

В феврале 2023 года об этом сообщил Бил Корри, член глобального совета директоров OWASP Foundation: [ 13 ] в Твиттере [ 7 ] что правление проголосовало за переименование Open Web Application Security Project в его нынешнее название, заменив Web на Worldwide.

Публикации и ресурсы

[ редактировать ]
  • Десять лучших OWASP: «Десять лучших», впервые опубликованная в 2003 году, регулярно обновляется. [ 14 ] Целью проекта является повышение осведомленности о безопасности приложений путем выявления некоторых наиболее критических рисков, с которыми сталкиваются организации. [ 15 ] [ 16 ] [ 17 ] Многие стандарты, книги, инструменты и многие организации ссылаются на проект Top 10, включая MITRE, PCI DSS , [ 18 ] Агентство оборонных информационных систем ( DISA-STIG США ) и Федеральная торговая комиссия (FTC), [ 19 ]
  • Модель зрелости Software Assurance Maturance OWASP. Миссия проекта модели зрелости Software Assurance (SAMM) — предоставить организациям всех типов эффективный и измеримый способ анализа и улучшения состояния безопасности своего программного обеспечения. Основная цель — повысить осведомленность и обучить организации тому, как проектировать, разрабатывать и развертывать безопасное программное обеспечение с помощью гибкой модели самооценки. SAMM поддерживает полный жизненный цикл программного обеспечения и не зависит от технологий и процессов. Модель SAMM по своей природе является развивающейся и ориентированной на риск, признавая, что не существует единого рецепта, который работал бы для всех организаций. [ 20 ]
  • Руководство по разработке OWASP. Руководство по разработке содержит практические рекомендации и включает примеры кода J2EE, ASP.NET и PHP. Руководство по разработке охватывает широкий спектр проблем безопасности на уровне приложений, от внедрения SQL-кода до современных проблем, таких как фишинг, обработка кредитных карт, фиксация сеанса, подделка межсайтовых запросов, вопросы соответствия требованиям и конфиденциальности.
  • Руководство по тестированию OWASP: Руководство по тестированию OWASP включает в себя структуру тестирования на проникновение «лучших практик», которую пользователи могут внедрить в своих организациях, а также руководство по тестированию на проникновение «низкого уровня», в котором описываются методы тестирования наиболее распространенных проблем безопасности веб-приложений и веб-сервисов. Версия 4 была опубликована в сентябре 2014 года при участии 60 человек. [ 21 ]
  • Руководство по проверке кода OWASP. Руководство по проверке кода в настоящее время находится в версии 2.0, выпущенной в июле 2017 года.
  • Стандарт проверки безопасности приложений OWASP (ASVS): стандарт для выполнения проверок безопасности на уровне приложений. [ 22 ]
  • Проект критериев оценки шлюза безопасности OWASP XML (XSG). [ 23 ]
  • Топ-10 руководств OWASP по реагированию на инциденты. Этот проект обеспечивает упреждающий подход к планированию реагирования на инциденты. Целевая аудитория этого документа включает владельцев бизнеса, инженеров по безопасности, разработчиков, специалистов по аудиту, менеджеров программ, правоохранительных органов и юридических консультантов. [ 24 ]
  • Проект OWASP ZAP: Zed Attack Proxy (ZAP) — это простой в использовании интегрированный инструмент тестирования на проникновение для поиска уязвимостей в веб-приложениях. Он предназначен для использования людьми с широким спектром опыта в области безопасности, включая разработчиков и функциональных тестировщиков, которые плохо знакомы с тестированием на проникновение.
  • Webgoat: намеренно небезопасное веб-приложение, созданное OWASP в качестве руководства по безопасному программированию. [ 1 ] После загрузки приложение поставляется с учебным пособием и набором различных уроков, которые учат студентов, как использовать уязвимости, с целью научить их безопасному написанию кода.
  • OWASP AppSec Pipeline: проект Application Security (AppSec) Rugged DevOps Pipeline — это место, где можно найти информацию, необходимую для повышения скорости и автоматизации программы безопасности приложений. Конвейеры AppSec используют принципы DevOps и Lean и применяют их к программе безопасности приложений. [ 25 ]
  • для веб-приложений OWASP Автоматизированные угрозы : опубликовано в июле 2015 г. [ 26 ] - Проект OWASP по автоматизированным угрозам для веб-приложений направлен на предоставление исчерпывающей информации и других ресурсов архитекторам, разработчикам, тестировщикам и другим лицам, которые помогут защититься от автоматических угроз, таких как подмена учетных данных . В проекте представлены 20 основных автоматизированных угроз по определению OWASP. [ 27 ]
  • Проект OWASP API Security: фокусируется на стратегиях и решениях для понимания и смягчения уникальных уязвимостей и рисков безопасности интерфейсов прикладного программирования (API). Включает самый последний список API Security Top 10 2023. [ 28 ]

Организация OWASP получила журнала Haymarket Media Group SC Magazine» в 2014 году. награду «Выбор редакции [ 9 ] [ 29 ]

См. также

[ редактировать ]
  1. ^ Jump up to: а б с д Хасеби, Сверре (2004). Невинный код: сигнал тревоги для веб-программистов . Уайли. п. 203 . ISBN  0470857447 .
  2. ^ «Глобальный совет Фонда OWASP» . ОВАСП. 14 февраля 2023 г. . Проверено 20 марта 2023 г.
  3. ^ «Сотрудники Фонда OWASP» . ОВАСП. 12 февраля 2023 г. . Проверено 3 мая 2022 г.
  4. ^ «ОВАСП ФОНДЕЙШН ИНК» . Некоммерческий исследователь . ПроПублика . 9 мая 2013 года . Проверено 8 января 2020 г.
  5. ^ «Форма 990 Фонда OWASP за финансовый год, заканчивающийся в декабре 2020 года» . 29 октября 2021 г. . Получено 18 января 2023 г. - через ProPublica Nonprofit Explorer.
  6. ^ «Форма 990 Фонда OWASP за финансовый год, заканчивающийся в декабре 2017 г.» . 26 октября 2018 года . Получено 8 января 2020 г. через ProPublica Nonprofit Explorer.
  7. ^ Jump up to: а б Корри, Бил [@bilcorry] (25 февраля 2023 г.). «Изменение, которое вы могли заметить в @owasp: Правление проголосовало за изменение буквы «W» с «Web» на «Worldwide», сделав его «Открытым всемирным проектом безопасности приложений» » ( твит ) . Проверено 7 июля 2024 г. - через Twitter .
  8. ^ «Топ-10 уязвимостей OWASP» . РазработчикWorks . ИБМ. 20 апреля 2015 года . Проверено 28 ноября 2015 г.
  9. ^ Jump up to: а б «Награды журнала SC Magazine 2014» (PDF) . Media.scmagazine.com. Архивировано из оригинала (PDF) 22 сентября 2014 года . Проверено 3 ноября 2014 г.
  10. ^ «OWASP Интернет вещей» . Проверено 26 декабря 2023 г.
  11. ^ "Доска" . ОВАСП . Архивировано из оригинала 16 сентября 2017 года . Проверено 27 февраля 2015 г.
  12. ^ «ОВАСП Европа» . ОВАСП . Архивировано из оригинала 17 апреля 2016 года . Проверено 7 июля 2024 г.
  13. ^ «Глобальный Совет» . owasp.org . Архивировано из оригинала 29 апреля 2024 года . Проверено 7 июля 2024 г.
  14. ^ «Десять лучших OWASP» . owasp.org . Архивировано из оригинала 6 июля 2024 года . Проверено 7 июля 2024 г.
  15. ^ Треватан, Мэтт (1 октября 2015 г.). «Семь лучших практик Интернета вещей» . База данных и сетевой журнал . Архивировано из оригинала 28 ноября 2015 года.
  16. ^ Кросман, Пенни (24 июля 2015 г.). «Дырявые банковские веб-сайты позволяют проникать кликджекингу и другим угрозам» . Американский банкир . Архивировано из оригинала 28 ноября 2015 года.
  17. ^ Паули, Даррен (4 декабря 2015 г.). «Компания Infosec оценивает языки приложений; найдите «короля» Java и положите PHP в корзину» . Регистр . Проверено 4 декабря 2015 г.
  18. ^ «Стандарт безопасности данных индустрии платежных карт (PCI)» (PDF) . Совет по стандартам безопасности PCI. Ноябрь 2013. с. 55 . Проверено 3 декабря 2015 г.
  19. ^ «10 лучших проектов по безопасности открытых веб-приложений (10 лучших OWASP)» . База знаний. Синопсис . Синопсис, Инк. 2017 . Проверено 20 июля 2017 г. Многие организации, в том числе Совет по стандартам безопасности PCI, Национальный институт стандартов и технологий (NIST) и Федеральная торговая комиссия (FTC), регулярно ссылаются на Топ-10 OWASP как на комплексное руководство по устранению уязвимостей веб-приложений и обеспечению соответствия требованиям.
  20. ^ «Что такое OWASP SAMM?» . ОВАСП САММ . Проверено 6 ноября 2022 г.
  21. ^ Паули, Даррен (18 сентября 2014 г.). «Опубликовано комплексное руководство по уничтожению веб-приложений» . Регистр . Проверено 28 ноября 2015 г.
  22. ^ Барр, Ганс; Смалтерс, другие; Хинцберген, Юлс; Хинцберген, Кейс (2015). Основы информационной безопасности на основе ISO27001 и ISO27002 (3-е изд.). Ван Харен. п. 144. ИСБН  9789401800129 .
  23. ^ «Категория: Последний проект по критериям оценки шлюза безопасности XML OWASP» . Owasp.org. Архивировано из оригинала 3 ноября 2014 года . Проверено 3 ноября 2014 г.
  24. ^ «Проект реагирования на инциденты OWASP — OWASP» . Архивировано из оригинала 6 апреля 2019 года . Проверено 12 декабря 2015 г.
  25. ^ «Конвейер OWASP AppSec» . Открытый проект безопасности веб-приложений (OWASP) . Архивировано из оригинала 18 января 2020 года . Проверено 26 февраля 2017 г.
  26. ^ «АВТОМАТИЗИРОВАННЫЕ УГРОЗЫ для веб-приложений» (PDF) . ОВАСП. Июль 2015.
  27. ^ «Автоматические угрозы OWASP для веб-приложений» . owasp.org . Архивировано из оригинала 29 июня 2024 года . Проверено 7 июля 2024 г.
  28. ^ «Проект безопасности OWASP API — Фонд OWASP» . ОВАСП .
  29. ^ «Победители | SC Magazine Awards» . Awards.scmagazine.com. Архивировано из оригинала 20 августа 2014 года . Проверено 17 июля 2014 г. Выбор редакции [...] Победитель: Фонд OWASP
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 1787b3fb3673aa86305c39234707156b__1721433180
URL1:https://arc.ask3.ru/arc/aa/17/6b/1787b3fb3673aa86305c39234707156b.html
Заголовок, (Title) документа по адресу, URL1:
OWASP - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)