Deschideți proiectul de securitate a aplicațiilor web

Open Web Application Security Project (numit pur și simplu OWASP ) este un proiect open-source care își propune să creeze linii directoare, instrumente și metodologii pentru a îmbunătăți securitatea aplicațiilor. A fost început pe 9 septembrie 2001 ^[1] de Mark Curphey , Dennis Groves și Jeremiah Grossman .

În 2004 , a fost înființată o fundație non-profit pentru a sprijini OWASP, care urmărește scopul de a crește securitatea aplicațiilor, permițând luarea deciziilor pe baza riscului. În Europa este o organizație non-profit înregistrată din iunie 2011; este prezent și în Italia cu capitolul OWASP-Italia ^[2] fondat de Matteo Meucci în ianuarie 2005.

Publicații și resurse

Proiectele OWASP sunt împărțite în următoarele categorii:

Proiecte emblematice: Aceste proiecte au demonstrat o valoare strategică pentru OWASP și securitatea aplicațiilor în ansamblu.

Proiecte de laborator: Proiectele de laborator OWASP reprezintă proiecte care au produs un produs cu valoare revizuită OWASP.

Proiecte de incubator: Proiectele de incubator OWASP se află într-o etapă experimentală în care proiectele sunt încă în curs de dezvoltare, ideile sunt încă demonstrate și dezvoltarea este încă în desfășurare.

Proiectul OWASP are peste 140 de surse deschise. În general, acestea sunt împărțite în 3 categorii:

- Protecția aplicațiilor: acestea sunt instrumente și documente care pot fi utilizate pentru a dezvolta software din ce în ce mai sigur.

- Verificarea securității: acestea sunt instrumente și documente care pot fi utilizate pentru a găsi vulnerabilități în cod sau serviciu.

- Ciclul de viață al securității software : acestea sunt instrumente și documente care pot fi utilizate pentru a adăuga activități legate de securitate în ciclul de dezvoltare software (SDLC).

Cele mai relevante proiecte OWASP sunt în prezent următoarele:

- OWASP Top Ten : „Top Ten”, publicat pentru prima dată în 2003, este recunoscut la nivel global de către dezvoltatori ca primul pas către realizarea unui software mai sigur. ^[3] Obiectivul este de a crește gradul de conștientizare a securității aplicațiilor, identificând unele dintre cele mai critice riscuri pentru organizații. [9] [10] [11] Numeroase standarde, cărți, instrumente și organizații se referă la proiectul Top 10, inclusiv MITRE, PCI DSS, [12] Agenția pentru Sisteme de Informații pentru Apărare (DISA-STIG), Comisia Federală pentru Comerț (FTC) ) din Statele Unite, [13] și multe altele [cuantifică].

- OWASP Software Assurance Maturity Model ^[4] : Proiectul Software Assurance Maturity Model (SAMM) se angajează să construiască un cadru care poate fi utilizat pentru a ajuta organizațiile să formuleze și să pună în aplicare o strategie de securitate a aplicațiilor care este adaptată la riscurile de afaceri specifice ale organizației.

- OWASP Building Guide ^[5] : reprezintă ghidul online pentru dezvoltare sigură și oferă un ghid practic care include exemple de cod J2EE, ASP.NET și PHP. Ghidul de construcție OWASP acoperă o gamă largă de probleme de securitate la nivel de aplicație, de la injecția SQL la probleme moderne, cum ar fi phishing-ul, gestionarea cardurilor de credit, conformitate și probleme de confidențialitate.

- OWASP Proactive Controls : OWASP Top Ten Proactive Controls 2018 este o listă de tehnici de securitate care ar trebui incluse în orice proiect de dezvoltare software. Acestea sunt sortate în ordinea importanței, numărul de control 1 fiind cel mai important. Acest document a fost scris de dezvoltatori pentru ca dezvoltatorii să îi ajute pe noii veniți să asigure dezvoltarea.

- Ghid de testare OWASP ^[6] : Ghidul de verificare a securității OWASP include un cadru de testare pe care utilizatorii îl pot implementa în organizațiile lor și un ghid de testare de penetrare mai tehnic care descrie metodologia pentru testarea celor mai frecvente probleme de securitate ale aplicațiilor web și serviciilor web. 4 a fost lansat în septembrie 2014, cu contribuții de la 60 de persoane. Versiunea 4.1 a fost lansată în aprilie 2020.

- OWASP Mobile Security Testing Guide ^[7] : Acest ghid își propune să stabilească standardul industrial pentru securitatea aplicațiilor mobile. Ghidul prezintă metodologia pentru efectuarea testelor care acoperă procesele, tehnicile și instrumentele utilizate în timpul unui test de securitate al aplicațiilor mobile, precum și un set exhaustiv de cazuri de testare care le permite testerilor să ofere rezultate consistente și cuprinzătoare.

- Ghidul de revizuire a codului OWASP ^[8] : Ghidul de revizuire a codului este în prezent la versiunea 2.0, lansat în iulie 2017.

- Standardul de verificare a securității aplicațiilor OVASP (ASVS) ^[3] : un standard pentru efectuarea verificărilor de securitate la nivel de aplicație.

- OWASP ZAP ^[5] : Zed Attack Proxy (ZAP) este un instrument de testare a penetrării integrat ușor de utilizat pentru căutarea vulnerabilităților în aplicațiile web. Este conceput pentru a fi utilizat de persoane cu o gamă largă de experiențe de securitate, inclusiv funcționale dezvoltatori și testeri care sunt noi la testele de penetrare.

- OWASP Webgoat ^[9] : o aplicație web nesigură creată de OWASP ca un ghid pentru practicile de programare securizate. Odată descărcată, aplicația vine cu un tutorial și o serie de lecții diferite care îi educă pe elevi despre cum să exploateze vulnerabilitățile cu intenția de a-i învăța cum să codeze în siguranță.

- AppSec Pipeline OWASP ^[4] : proiectul Application Security (AppSec) DevOps Pipeline este un loc unde puteți găsi informațiile de care aveți nevoie pentru a crește viteza și automatizarea unui program de securitate a aplicației. Conductele AppSec adoptă principiile DevOps și Lean și îl aplică unui program de securitate al aplicației.

Notă

^ Despre Open Web Application Security Project - OWASP , la wiki.owasp.org . Adus la 26 aprilie 2020 .
^ Italia - OWASP , pe wiki.owasp.org . Adus la 26 aprilie 2020 .
^ ^A ^b (EN) OWASP Top Ten , pe owasp.org. Adus la 26 aprilie 2020 .
^ ^A ^b (EN) OWASP SAMM , pe owaspsamm.org. Adus la 26 aprilie 2020 .
^ ^a ^b OWASP Guide Project - OWASP , la wiki.owasp.org . Adus la 26 aprilie 2020 .
^ (RO) OWASP Web Security Testing Guide on owasp.org. Adus la 26 aprilie 2020 .
^ (RO) OWASP Mobile Security Testing Guide on owasp.org. Adus la 26 aprilie 2020 .
^ Categorie: OWASP Code Review Project - OWASP , la wiki.owasp.org . Adus la 26 aprilie 2020 .
^ (EN) OWASP WebGoat , pe owasp.org. Adus la 26 aprilie 2020 .

Alte proiecte

Wikimedia Commons conține imagini sau alte fișiere despre Open Web Application Security Project

linkuri externe

( RO ) Site oficial , pe owasp.org .
Site-ul oficial , la owasp.org.cn .
( RO ) Deschideți proiectul de securitate a aplicațiilor web , pe GitHub .

Controlul autorității	VIAF (EN) 314 901 743 · LCCN (EN) nb2015004764 · GND (DE) 1129461661 · WorldCat Identities (EN) lccn-nb2015004764

Portal internet

Portal de securitate IT

[1] Despre Open Web Application Security Project - OWASP , la wiki.owasp.org . Adus la 26 aprilie 2020 .

[2] Italia - OWASP , pe wiki.owasp.org . Adus la 26 aprilie 2020 .

[:0-3] A ^b (EN) OWASP Top Ten , pe owasp.org. Adus la 26 aprilie 2020 .

[:1-4] A ^b (EN) OWASP SAMM , pe owaspsamm.org. Adus la 26 aprilie 2020 .

[:2-5] OWASP Guide Project - OWASP , la wiki.owasp.org . Adus la 26 aprilie 2020 .

[6] (RO) OWASP Web Security Testing Guide on owasp.org. Adus la 26 aprilie 2020 .

[7] (RO) OWASP Mobile Security Testing Guide on owasp.org. Adus la 26 aprilie 2020 .

[8] Categorie: OWASP Code Review Project - OWASP , la wiki.owasp.org . Adus la 26 aprilie 2020 .

[9] (EN) OWASP WebGoat , pe owasp.org. Adus la 26 aprilie 2020 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]