OWASP

Open Web Application Security Project
Тип неприбуткова організація
організація 501(c)(3)d[1]
Засновник Mark Curphey[2]
Засновано 21 квітня 2004
Правовий статус Delaware corporationd
Сфера Безпека прикладних програм
Галузь інформаційна безпека
Країна  США
Ключові особи Karen Staley, Виконавчий директор; Kelly Santalucia, Членство та ділове співробітництво; Laura Grau, Менеджер подій; Tiffany Long, Менеджер по роботі зі спільнотою; Claudia Cassanovas, Координатор проєктів; Dawn Aitken, Програмний асистент
Штат працівників 8 осіб
Вебсайт owasp.org
owasp.org.cn
 OWASP у Вікісховищі

Відкритий проєкт з безпеки веб-застосунків (Open Web Application Security Project) (OWASP) — онлайн-спільнота, яка створює вільно доступні статті, методології, документацію, інструменти та технології в галузі безпеки веб-застосунків.[3][4]

Історія

Mark Curphey розпочав проєкт OWASP 9 вересня 2001.[5] Jeff Williams працював у OWASP Головою як волонтер з кінця 2003 до вересня 2011, після чого Matt Konda очолив Раду.[6]

Структура

OWASP Foundation, неприбуткова організація в США, заснована 2004 року, підтримує інфраструктуру та проєкти OWASP. З 2011, OWASP також зареєстрована як неприбуткова організація в Бельгії під назвою OWASP Europe VZW.[7]

Очільники OWASP несуть відповідальність за прийняття рішень про технічне керівництво, пріоритети проєктів, розклад та випуски.

Очільники OWASP можуть сприйматись як менеджмент Фонду OWASP.

У OWASP офіційно працює 3 особи, тому проєкт має надзвичайно низькі видатки, які покриваються конференціями, корпоративними спонсорами і рекламою. OWASP щорічно нагороджує грантами Архівовано 26 березня 2018 у Wayback Machine. корпоративних та індивідуальних членів за розробку перспективних застосунків, які підвищують безпеку.

Публікації та ресурси
  • Проєкт OWASP Топ Десять: Проєкт «Топ Десять», вперше опублікований у 2003 і регулярно оновлюється.[8] Він спрямований на підвищення обізнаності про безпеку застосунків шляхом виявлення деяких найбільш критичних ризиків для організацій.[9][10][11] Багато стандартів, книг, інструментів та організацій посилаються на OWASP Топ Десять, включно з MITRE, PCI DSS,[12] Defense Information Systems Agency (DISA-STIG), Федеральна торговельна комісія США,[13] та багато інших.
  • Модель зрілості із забезпечення впевненості у програмному забезпеченні OWASP: Модель зрілості із забезпечення впевненості у програмному забезпеченні(Software Assurance Maturity Model, SAMM) — проєкт з метою допомогти організаціям сформулювати та імплементувати стратегію безпеки застосувань, яка адаптовану до конкретних бізнес-ризиків, з якими стикається організація.
  • Настанова з розробки OWASP: Настанова з розробки представляє практичне керівництво та включає приклади коду мовами J2EE, ASP.NET, та PHP. Настанова з розробки охоплює широкий спектр питань безпеки на рівні застосувань, починаючи від SQL-ін'єкцій до сучасних проблем, таких як фішинг, використання кредитних карток, закріплення сеансів, підробки міжсайтових запитів, відповідність вимогам конфіденційності та приватності.
  • Настанова з тестування OWASP: Настанова з тестування включає найкращі практики з тестування на проникнення, які користувачі можуть впровадити у своїх організаціях, та настанову з низькорівневого тестування на проникнення, яка описує методики перевірки найбільш загальних проблем безпеки веб-застосувань та веб-сервісів. Версія 4 була опублікована 4 вересня 2014 із внеском від більш ніж 60 осіб.[14]
  • Настанова з огляду коду OWASP: настанова з огляду коду має номер поточної версії 1.1 і є другою найбільш продаваною книгою OWASP у 2008.
  • Стандарт перевірки безпеки застосувань OWASP (Application Security Verification Standard, ASVS): стандарт перевірки безпеки на рівні застосувань.[15]
  • Проєкт критеріїв оцінки шлюзу безпеки XML OWASP (XML Security Gateway, XSG) .[16]
  • Настанова OWASP з реагування на топ десять інцидентів. Цей проєкт надає проактивний підхід до планування реагування на інциденти. Документ призначений для аудиторії, що включає власників бізнесу, інженерів з безпеки, розробників, аудиторів, керівників програм, правоохоронців та юристів.[17]
  • OWASP ZAP Project: The Zed Attack Proxy (ZAP) являє собою простий у використанні інтегрований інструмент тестування на проникнення для пошуку вразливостей у веб-застосуваннях. Він призначений для використання людьми з різноманітним досвідом безпеки, включаючи розробників та функціональних тестерів, які є новачками в тестуванні на проникнення.
  • Webgoat: навмисно небезпечний веб-додаток, створений OWASP для навчання для безпечним методам програмування.[2] Після завантаження програма поставляється з підручником та набором різних уроків, які вказують учням, як експлуатувати вразливості, з метою навчити їх писати безпечний код.
  • OWASP AppSec Pipeline: Проєкт DevOps Pipeline Project це місце для пошуку інформації, необхідної для збільшення швидкості та автоматизації програми безпеки застосувань. AppSec використовують принципи DevOps і Lean і застосовують це до програми безпеки безпеки застосувань.[18]

Нагороди

Організація OWASP отримала у 2014 нагороду SC Magazine.[4][19]

Див. також

Примітки
  1. IRS 501(c)(3) Determination Letter — 2004.
  2. Huseby, Sverre (2004). Innocent Code: A Security Wake-Up Call for Web Programmers. Wiley. с. 203. ISBN 0470857447.
  3. OWASP top 10 vulnerabilities. developerWorks. IBM. 20 квітня 2015. Процитовано 28 листопада 2015.
  4. SC Magazine Awards 2014 (PDF). Media.scmagazine.com. Процитовано 3 листопада 2014.
  5. Curphey, Mark. The Start of OWASP – A True Story - SourceClear. SRC:CLR. Архів оригіналу за 14 липня 2014. Процитовано 17 липня 2014.
  6. Board Архівовано 16 вересня 2017 у Wayback Machine.. OWASP. Retrieved on 2015-02-27.
  7. OWASP Europe, OWASP, 2016
  8. OWASP Top Ten Project on owasp.org
  9. Trevathan, Matt (1 жовтня 2015). Seven Best Practices for Internet of Things. Database and Network Journal. Архів оригіналу за 28 листопада 2015. Процитовано 28 листопада 2015 через HighBeam Research. (потрібна підписка).
  10. Crosman, Penny (24 липня 2015). Leaky Bank Websites Let Clickjacking, Other Threats Seep In. American Banker. Архів оригіналу за 28 листопада 2015. Процитовано 28 листопада 2015 через HighBeam Research. (потрібна підписка).
  11. Pauli, Darren (4 грудня 2015). Infosec bods rate app languages; find Java 'king', put PHP in bin. The Register. Процитовано 4 грудня 2015.
  12. Payment Card Industry (PCI) Data Security Standard. PCI Security Standards Council. November 2013. с. 55. Процитовано 3 грудня 2015.
  13. Open Web Application Security Project Top 10 (OWASP Top 10). Knowledge Database. Synopsys. Synopsys, Inc. 2017. Процитовано 20 липня 2017. «Many entities including the PCI Security Standards Council, National Institute of Standards and Technology (NIST), and the Federal Trade Commission (FTC) regularly reference the OWASP Top 10 as an integral guide for mitigating Web application vulnerabilities and meeting compliance initiatives.»
  14. Pauli, Darren (18 вересня 2014). Comprehensive guide to obliterating web apps published. The Register. Процитовано 28 листопада 2015.
  15. Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees (2015). Foundations of Information Security Based on ISO27001 and ISO27002 (вид. 3). Van Haren. с. 144. ISBN 9789401800129.
  16. Category:OWASP XML Security Gateway Evaluation Criteria Project Latest. Owasp.org. Архів оригіналу за 3 листопада 2014. Процитовано 3 листопада 2014.
  17. https://www.owasp.org/index.php/OWASP_Incident_Response_Project
  18. OWASP AppSec Pipeline. Open Web Application Security Project (OWASP). Процитовано 26 лютого 2017.
  19. Winners | SC Magazine Awards. Awards.scmagazine.com. Архів оригіналу за 20 серпня 2014. Процитовано 17 липня 2014. «Editor's Choice [...] Winner: OWASP Foundation»

Посилання
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.