Åpne Web Application Security Project

Open Web Application Security Project ( enkelt kalt OWASP ) er et åpen kildekode-prosjekt som tar sikte på å lage retningslinjer, verktøy og metoder for å forbedre applikasjonssikkerheten. Den ble startet 9. september 2001 [1] av Mark Curphey , Dennis Groves og Jeremiah Grossman .

I 2004 ble det opprettet en ideell stiftelse for å støtte OWASP, som forfølger målet om å øke applikasjonssikkerheten ved å gjøre det mulig å ta beslutninger basert på risiko. I Europa er det en ideell organisasjon registrert siden juni 2011; den er også til stede i Italia med OWASP-Italy Chapter [2] grunnlagt av Matteo Meucci i januar 2005.

Publikasjoner og ressurser

OWASP-prosjekter er delt inn i følgende kategorier:

Flaggskipprosjekter: Disse prosjektene har vist strategisk verdi for OWASP og applikasjonssikkerhet som helhet.

Lab-prosjekter: OWASP-labprosjekter representerer prosjekter som har produsert et OWASP-revidert verdiprodukt.

Inkubatorprosjekter: OWASP-inkubatorprosjekter er i en eksperimentell fase hvor prosjektene fortsatt utvikles, ideer fortsatt demonstreres og utviklingen fortsatt pågår.

OWASP-prosjektet har mer enn 140 åpne kilder. De er generelt delt inn i 3 kategorier:

- Applikasjonsbeskyttelse: dette er verktøy og dokumenter som kan brukes til å utvikle stadig sikrere programvare.

- Sikkerhetsverifisering: Dette er verktøy og dokumenter som kan brukes til å finne sårbarheter i kode eller tjeneste.

- Software Security Lifecycle : Dette er verktøy og dokumenter som kan brukes til å legge til sikkerhetsrelaterte aktiviteter i programvareutviklingssyklusen (SDLC).

De mest relevante OWASP-prosjektene er for tiden følgende:

- OWASP Topp ti : "Topp ti", først publisert i 2003, er anerkjent globalt av utviklere som det første skrittet mot å lage sikrere programvare. [3] Har som mål å øke bevisstheten om applikasjonssikkerhet ved å identifisere noen av de mest kritiske risikoene for organisasjoner. [9] [10] [11] Tallrike standarder, bøker, verktøy og organisasjoner refererer til Topp 10-prosjektet, inkludert MITER, PCI DSS, [12] Defense Information Systems Agency (DISA-STIG), Federal Trade Commission (FTC) ) i USA, [13] og mange flere [kvantifiser].

- OWASP Software Assurance Maturity Model [4] : Prosjektet Software Assurance Maturity Model (SAMM) er forpliktet til å bygge et rammeverk som kan brukes til å hjelpe organisasjoner med å formulere og implementere en applikasjonssikkerhetsstrategi som er skreddersydd for spesifikke forretningsrisikoer organisasjon.

- OWASP Building Guide [5] : representerer den elektroniske guiden for sikker utvikling og gir en praktisk guide med eksempler på J2EE, ASP.NET og PHP-kode. OWASP Building Guide dekker et bredt spekter av sikkerhetsproblemer på applikasjonsnivå, fra SQL-injeksjon til moderne problemer som phishing, kredittkorthåndtering, compliance og personvernproblemer.

- OWASP Proactive Controls : OWASP Top Ten Proactive Controls 2018 er en liste over sikkerhetsteknikker som bør inkluderes i ethvert programvareutviklingsprosjekt. De er sortert etter viktighet, med kontrollnummer 1 som den viktigste. Dette dokumentet ble skrevet av utviklere for utviklere for å hjelpe nykommere med å sikre utvikling.

- OWASP Testing Guide [6] : OWASP Security Verification Guide inkluderer et testrammeverk som brukere kan implementere i sine organisasjoner og en mer teknisk penetrasjonstestguide som beskriver metodikken for å teste de vanligste sikkerhetsproblemene til webapplikasjoner og webtjenester. Versjon 4 ble utgitt i september 2014, med bidrag fra 60 personer. Versjon 4.1 ble utgitt i april 2020.

- OWASP Mobile Security Testing Guide [7] : Denne veiledningen tar sikte på å sette industristandarden for mobilapplikasjonssikkerhet. Veiledningen viser metodikken for å utføre tester som dekker prosessene, teknikkene og verktøyene som brukes under en sikkerhetstest for mobilapplikasjoner, samt et uttømmende sett med testtilfeller som lar testere gi konsistente og omfattende resultater.

- OWASP Code Review Guide [8] : Kodevurderingsguiden er for øyeblikket på versjon 2.0, utgitt i juli 2017.

- OVASP Application Security Verification Standard (ASVS) [3] : En standard for å utføre sikkerhetsverifikasjoner på applikasjonsnivå.

- OWASP ZAP [5]  : Zed Attack Proxy (ZAP) er et brukervennlig integrert penetrasjonstestverktøy for å søke etter sårbarheter i nettapplikasjoner. Det er designet for å brukes av personer med et bredt spekter av sikkerhetserfaringer, inkludert funksjonell utviklere og testere som er nye innen penetrasjonstesting.

- OWASP Webgoat [9] : En bevisst usikker webapplikasjon laget av OWASP som en guide til sikker programmeringspraksis. Når den er lastet ned, kommer applikasjonen med en opplæring og en rekke forskjellige leksjoner som instruerer elevene i hvordan de kan utnytte sårbarheter med den hensikt å lære dem hvordan de kan kode sikkert.

- AppSec Pipeline OWASP [4] : DevOps Pipeline-prosjektet Application Security (AppSec) er et sted for å finne informasjonen du trenger for å øke hastigheten og automatiseringen av et programsikkerhetsprogram. AppSec-rørledninger tar i bruk prinsippene til DevOps og Lean og bruker dem på et programsikkerhetsprogram.

Merknader

  1. ^ Om The Open Web Application Security Project - OWASP , på wiki.owasp.org . Hentet 26. april 2020 .
  2. ^ Italia - OWASP , på wiki.owasp.org . Hentet 26. april 2020 .
  3. ^ a b OWASP topp ti , på owasp.org . Hentet 26. april 2020 .
  4. ^ a b OWASP SAMM , på owaspsamm.org . _ Hentet 26. april 2020 .
  5. ^ a b OWASP Guide Project - OWASP , på wiki.owasp.org . Hentet 26. april 2020 .
  6. ^ OWASP Web Security Testing Guide , på owasp.org . Hentet 26. april 2020 .
  7. ^ OWASP Mobile Security Testing Guide , på owasp.org . Hentet 26. april 2020 .
  8. ^ Kategori: OWASP Code Review Project - OWASP , på wiki.owasp.org . Hentet 26. april 2020 .
  9. ^ OWASP WebGoat , owasp.org . _ Hentet 26. april 2020 .

Andre prosjekter

Eksterne lenker