OWASP
Open Worldwide Application Security Project (OWASP) — это открытый проект обеспечения безопасности веб-приложений[англ.].
Сообщество OWASP включает в себя корпорации, образовательные организации и частных лиц со всего мира. Сообщество работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе.
Фонд OWASP — это благотворительная организация по 501(c)(3) organization[англ.], которая оказывает поддержку и осуществляет управление проектами и инфраструктурой OWASP. Кроме того, Фонд зарегистрирован как некоммерческая организация в Европе с июня 2011 года.
OWASP не аффилирован ни с одной компанией, занимающейся разработкой технологий, но он поддерживает грамотное использование технологий безопасности. Проект избегает аффилирования, так как полагает, что свобода от влияния со стороны других организаций может облегчить распространение беспристрастной, полезной и дешевой информации о безопасности приложений.
Участники сообщества OWASP делают приложения безопаснее, учитывая человеческий фактор и технологический уровень.
Наиболее востребованные документы, опубликованные OWASP, включают в себя: Руководство OWASP[1], Обзорное Руководство по Коду OWASP[2] и широко применяемый Проект Топ-10 OWASP[3].
Самыми распространёнными инструментами OWASP являются тренировочная среда[4], прокси-анализатор WebScarab[5] и .NET инструменты[6]. OWASP состоит примерно из 190 местных отделений[7], располагающихся по всему миру и тысяч участников в листах рассылки проекта.
OWASP организовал серию конференций AppSec[8] для дальнейшего построения сообщества, посвященного безопасности приложений.
OWASP создаёт стандарты, первый из которых был опубликован под названием OWASP Application Security Verification Standard (ASVS)).[9] Основная цель OWASP ASVS — это стандартизация диапазона охвата и уровня строгости доступных на рынке приложений, обеспечивающих безопасность. Целью OWASP ASVS также являлось создание набора коммерчески успешных открытых стандартов, приспособленных для специализированных веб-технологий. Сборник для Веб-Приложений уже был опубликован. Сборник для Веб-Сервисов в процессе разработки.
Проекты
[править | править код]Проекты OWASP — это набор связанных задач, имеющих определённый план развития и команду разработчиков.
Лидеры проектов OWASP ответственны за определение образа, схемы и задач проекта, также они занимаются продвижением проекта и набором команды. На данный момент существует более 130 активных проектов OWASP, и количество этих проектов растет еженедельно. Проекты являются одним из самых популярных подразделений OWASP, так как дают активистам возможность свободно тестировать различные теории и идеи с профессиональной поддержкой сообщества OWASP.
Всё, созданное OWASP: инструменты, документация и библиотеки кода, распределено по следующим категориям.
Защита — это инструменты и документация, которые могут быть использованы для защиты против атак и использования недостатков систем.
Обнаружение — это инструменты и документация, которые могут быть использованы для обнаружения атак и недостатков систем.
Цикл — это инструменты и документация, которые могут быть использованы для добавления работ, связанных с безопасностью в жизненном цикле программного обеспечения.
Некоторые из проектов OWASP
- Стандарт Подтверждения Безопасности Приложений OWASP (OWASP Application Security Verification Standard (ASVS)) — Стандарт для проведения проверок уровня безопасности приложений.
- Руководство по Разработке OWASP дает практические советы и содержит примеры кода на J2EE, ASP.NET и PHP. Серьёзно переработанное в 2014 году, Руководство по Разработке охватывает обширный массив вопросов безопасности для уровня приложений, от SQL инъекций до современных проблем, таких как фишинг, обработка кредитных карт, фиксация сессий, подделка межсайтовых запросов, согласование и конфиденциальность.
- Руководство по Тестированию OWASP включает «лучшую практическую» основу для тестирования проникновений, которую пользователи могут использовать в своих организациях и «низкоуровневое» руководство по тестированию проникновений, которое описывает техники тестирования наиболее распространенных проблем с безопасностью в веб-приложениях и веб-сервисах.
- Руководство по Обзору Кода OWASP версии 1.1 является вторым по продажам печатным изданием, выпущенными OWASP в 2008 году. При этом уже версия 1.0 собрала множество положительных отзывов и стала одним из ключевых продуктов, позволяющих OWASP бороться с проблемами в безопасности программного обеспечения.
- OWASP ЗАП Проект: Прокси Зет-Атаки — это простой в применении встроенный инструмент тестирования проникновений, служащий для нахождения уязвимостей веб-приложений. Он разработан для использования людьми с различным опытом в сфере безопасности и является эталоном для разработчиков и тестировщиков функционала, которые не имеют опыта в тестировании проникновений.
- OWASP Топ-10: цель проекта Топ-10 — увеличение осведомленности о безопасности приложений при помощи определения наиболее критичных рисков, угрожающих организациям. На проект Топ-10 ссылается множество стандартов, инструментов и организаций, включая MITRE, PCI DSS, DISA, FTC, и множество других.
- OWASP Модель Завершенности Программного Обеспечения: этот проект стремится к созданию полезной основы для помощи организациям в формулировании и воплощении стратегии безопасности приложений, с учетом специфических бизнес-рисков, которые предстают перед организацией.
- Webgoat — заведомо ненадёжное веб-приложение, созданное OWASP как руководство по написанию безопасного кода. Вместе с приложением поставляется учебник и набор различных курсов, рассказывающих студентам как использовать информацию об уязвимостях для написания безопасного кода.
- OWASP Mantra Security Framework: Коллекция хакерских утилит, расширений и скриптов основанная на Mozilla Firefox.
- Множество других инструментов и приложений для обеспечения безопасности доступно в структуре проектов OWASP.
История
[править | править код]OWASP был основан 9 сентября 2001 года Марком Керфи и Дэннисом Грувзом. С конца 2003 года, Джефф Вильямс работал добровольным председателем OWASP до сентября 2011 года. Текущий председатель — Майкл Коатс, а вице-председатель Эойн Кири. Фонд OWASP, организация 501(c)(3) (в США) была учреждена в 2004 году и занимается поддержкой проектов и инфраструктуры OWASP. OWASP служит не личным целям её руководителей, а распространению знаний.
Лидеры OWASP несут ответственность за принятие решений о техническом руководстве, приоритеты проекта, расписание и выпуск продукции.
В целом, лидеры OWASP могут восприниматься как менеджмент Фонда OWASP.
В OWASP официально работает 8 человек, вследствие чего у проекта крайне низкие расходы, покрываемые конференциями, корпоративными спонсорами и рекламой. OWASP ежегодно награждает грантами корпоративных и индивидуальных членов за разработку многообещающих приложений, обеспечивающих безопасность.
С 2011 года OWASP зарегистрирована как некоммерческая организация в Бельгии под именем OWASP Европа VZW.
Награды
[править | править код]- 2014 год - SC Magazine[англ.] Awards [10].
См. также
[править | править код]Примечания
[править | править код]- ↑ OWASP Guide Project — OWASP . Дата обращения: 25 мая 2013. Архивировано 7 мая 2013 года.
- ↑ Category:OWASP Code Review Project — OWASP . Дата обращения: 25 мая 2013. Архивировано 1 мая 2013 года.
- ↑ http://www.owasp.org/index.php/OWASP_Top_Ten_Project Архивная копия от 7 мая 2013 на Wayback Machine OWASP
- ↑ http://www.owasp.org/index.php/OWASP_WebGoat_Project Архивная копия от 30 апреля 2013 на Wayback Machine WebGoat
- ↑ Category:OWASP WebScarab Project — OWASP . Дата обращения: 25 мая 2013. Архивировано 7 мая 2013 года.
- ↑ http://www.owasp.org/index.php/Category:OWASP_.NET_Project Архивная копия от 26 апреля 2013 на Wayback Machine OWASP
- ↑ OWASP Chapter — OWASP . Дата обращения: 25 мая 2013. Архивировано 26 апреля 2013 года.
- ↑ Category:OWASP AppSec Conference — OWASP . Дата обращения: 25 мая 2013. Архивировано 26 апреля 2013 года.
- ↑ Category:OWASP Application Security Verification Standard Project — OWASP . Дата обращения: 25 мая 2013. Архивировано 10 мая 2013 года.
- ↑ Winners | SC Magazine Awards
Ссылки
[править | править код]- Проект OWASP
- Страница российского отделения OWASP
- Блог российского отделения OWASP
- Статья, рассказывающая про проект Топ-10
- OWASP Application Security Verification Standard (ASVS)
- Writing Secure Code (MS Press) ISBN 0-7356-1722-8
- Threats and Countermeasures (MSDN)
- Перевод методологии OWASP на русский язык.
- Перевод и адаптация OWASP Mobile Top 10 на русский язык.