OWASP

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Open Web Application Security Project (OWASP) - это открытый проект обеспечения безопасности веб-приложений. Сообщество OWASP включает в себя корпорации, образовательные организации и частных лиц со всего мира. Сообщество работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе. Фонд OWASP это благотворительная организация по 501(c)(3), которая оказывает поддержку и осуществляет управление проектами и инфраструктурой OWASP. Кроме того, Фонд зарегистрирован как Некоммерческая организация в Европе с июня 2011 года.

OWASP не аффилирован ни с одной компанией, занимающейся разработкой технологий, но он поддерживает грамотное использование технологий безопасности. OWASP избегает аффилирования, так как полагает, что свобода от влияния со стороны других организаций может облегчить распространение беспристрастной, полезной и дешевой информации о безопасности приложений.

Участники сообщества OWASP делают приложения безопаснее, учитывая человеческий фактор и технологический уровень. Наиболее востребованные документы, опубликованные OWASP, включают в себя: Руководство OWASP [1], Обзорное Руководство по Коду OWASP[2] и широко применяемый Проект Топ-10 OWASP[3].

Самыми распространенными инструментами OWASP являются тренировочная среда[4], прокси-анализатор WebScarab[5] и .NET инструменты[6]. OWASP состоит примерно из 190 местных отделений [7], располагающихся по всему миру и тысяч участников в листах рассылки проекта.

OWASP организовал серию конференций AppSec[8] для дальнейшего построения сообщества, посвященного безопасности приложений.

OWASP создает стандарты, первый из которых был опубликован под названием OWASP Application Security Verification Standard (ASVS)).[9] Основная цель OWASP ASVS это стандартизация диапазона охвата и уровня строгости доступных на рынке приложений, обеспечивающих безопасность. Целью OWASP ASVS также являлось создание набора коммерчески успешных открытых стандартов, приспособленных для специализированных веб-технологий. Сборник для Веб-Приложений уже был опубликован. Сборник для Веб-Сервисов в процессе разработки.

Проекты[править | править вики-текст]

Проекты OWASP это набор связанных задач, имеющих определенный план развития и команду разработчиков.

Лидеры проектов OWASP ответственны за определение образа, схемы и задач проекта, также они занимаются продвижением проекта и набором команды. На данный момент существует более 130 активных проектов OWASP, и количество этих проектов растет еженедельно. Проекты являются одним из самых популярных подразделений OWASP, так как дают активистам возможность свободно тестировать различные теории и идеи с профессиональной поддержкой сообщества OWASP. Все, созданное OWASP: инструменты, документация и библиотеки кода, распределено по следующим категориям.

Защита — это инструменты и документация, которые могут быть использованы для защиты против атак и использования недостатков систем.

Обнаружение — это инструменты и документация, которые могут быть использованы для обнаружения атак и недостатков систем.

Цикл — это инструменты и документация, которые могут быть использованы для добавления работ, связанных с безопасностью в жизненном цикле программного обеспечения(Software Development Life Cycle).

Некоторые из проектов OWASP

  • Руководство по Разработке OWASP дает практические советы и содержит примеры кода на J2EE, ASP.NET и PHP. Руководство по Разработке охватывает обширный массив вопросов безопасности для уровня приложений, от SQL инъекций до современных проблем, таких как фишинг, обработка кредитных карт, фиксация сессий, подделка межсайтовых запросов, согласование и конфиденциальность.
  • Руководство по Тестированию OWASP включает «лучшую практическую» основу для тестирования проникновений, которую пользователи могут использовать в своих организациях и «низкоуровневое» руководство по тестированию проникновений, которое описывает техники тестирования наиболее распространенных проблем с безопасностью в веб-приложениях и веб-сервисах.
  • Руководство по Обзору Кода OWASP версии 1.1 является вторым по продажам печатным изданием, выпущенными OWASP в 2008 году. При этом уже версия 1.0 собрала множество положительных отзывов и стала одним из ключевых продуктов, позволяющих OWASP бороться с проблемами в безопасности программного обеспечения.
  • OWASP ЗАП Проект: Прокси Зет-Атаки это простой в применении встроенный инструмент тестирования проникновений, служащий для нахождения уязвимостей веб-приложений. Он разработан для использования людьми с различным опытом в сфере безопасности и является эталоном для разработчиков и тестировщиков функционала, которые не имеют опыта в тестировании проникновений.
  • OWASP Топ-10: цель проекта Топ-10 — увеличение осведомленности о безопасности приложений при помощи определения наиболее критичных рисков, угрожающих организациям. На проект Топ-10 ссылается множество стандартов, инструментов и организаций, включая MITRE, PCI DSS, DISA, FTC, и множество других.
  • OWASP Модель Завершенности Программного Обеспечения: этот проект стремится к созданию полезной основы для помощи организациям в формулировании и воплощении стратегии безопасности приложений, с учетом специфических бизнес-рисков, которые предстают перед организацией.
  • Вебкозёл — заведомо ненадежное веб-приложение, созданное OWASP как руководство по написанию безопасного кода. Вместе с приложением поставляется учебник и набор различных курсов, рассказывающих студентам как использовать информацию об уязвимостях для написания безопасного кода.
  • OWASP Mantra Security Framework: Коллекция хакерских утилит, расширений и скриптов основанная на Mozilla Firefox.

История[править | править вики-текст]

OWASP было основано 9 сентября 2001 года Марком Керфи и Дэннисом Грувзом. С конца 2003 года, Джефф Вильямс работал добровольным председателем OWASP до сентября 2011 года. Текущий председатель- Майкл Коатс, а вице-председатель Эойн Кири. Фонд OWASP, организация 501(c)(3) (в США) была учреждена в 2004 году и занимается поддержкой проектов и инфраструктуры OWASP. OWASP служит не личным целям ее руководителей, а распространению знаний. Лидеры OWASP несут ответственность за принятие решений о техническом руководстве, приоритеты проекта, расписание и выпуск продукции.

В целом, лидеры OWASP могут восприниматься как менеджмент Фонда OWASP. В OWASP официально работает 3 человека, вследствие чего у проекта крайне низкие расходы, покрываемые конференциями, корпоративными спонсорами и рекламой. OWASP ежегодно награждает грантами корпоративных и индивидуальных членов за разработку многообещающих приложений, обеспечивающих безопасность. С 2011 года OWASP зарегистрирована как некоммерческая организация в Бельгии под именем OWASP Европа VZW.

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

Ссылки[править | править вики-текст]