OWASP

Open Web Application Security Project
АбревіатураOWASP(англ.)
Типнеприбуткова організація
організація 501(c)(3)[2]
ЗасновникMark Curphey[1]
Засновано2001
Правовий статусделаверська корпораціяd
Сферабезпека прикладних програм
Галузькомп'ютерна безпека
Країна США
Штаб-квартираВілмінгтон
39°44′47″ пн. ш. 75°33′03″ зх. д. / 39.746343° пн. ш. 75.5508357° зх. д. / 39.746343; -75.5508357
Ключові особиKaren Staley, Виконавчий директор; Kelly Santalucia, Членство та ділове співробітництво; Laura Grau, Менеджер подій; Tiffany Long, Менеджер по роботі зі спільнотою; Claudia Cassanovas, Координатор проєктів; Dawn Aitken, Програмний асистент
Штат працівників8 осіб
Дохід2 913 675 $ (2022)[3]
Вебсайт: owasp.org
Мапа
CMNS: OWASP у Вікісховищі

Відкритий проєкт з безпеки вебзастосунків (Open Web Application Security Project) (OWASP) — онлайн-спільнота, яка створює вільно доступні статті, методології, документацію, інструменти та технології в галузі безпеки вебзастосунків.[4][5]

Історія

Mark Curphey розпочав проєкт OWASP 9 вересня 2001.[6] Jeff Williams працював у OWASP Головою як волонтер з кінця 2003 до вересня 2011, після чого Matt Konda очолив Раду.[7]

Структура

OWASP Foundation, неприбуткова організація в США, заснована 2004 року, підтримує інфраструктуру та проєкти OWASP. З 2011, OWASP також зареєстрована як неприбуткова організація в Бельгії під назвою OWASP Europe VZW.[8]

Очільники OWASP несуть відповідальність за прийняття рішень про технічне керівництво, пріоритети проєктів, розклад та випуски.

Очільники OWASP можуть сприйматись як менеджмент Фонду OWASP.

У OWASP офіційно працює 3 особи, тому проєкт має надзвичайно низькі видатки, які покриваються конференціями, корпоративними спонсорами і рекламою. OWASP щорічно нагороджує грантами [Архівовано 26 березня 2018 у Wayback Machine.] корпоративних та індивідуальних членів [Архівовано 26 березня 2018 у Wayback Machine.] за розробку перспективних застосунків, які підвищують безпеку.

Публікації та ресурси

  • Проєкт OWASP Топ Десять: Проєкт «Топ Десять», вперше опублікований у 2003 і регулярно оновлюється.[9] Він спрямований на підвищення обізнаності про безпеку застосунків шляхом виявлення деяких найбільш критичних ризиків для організацій.[10][11][12] Багато стандартів, книг, інструментів та організацій посилаються на OWASP Топ Десять, включно з MITRE[en], PCI DSS,[13] Defense Information Systems Agency[en] (DISA-STIG[en]), Федеральна торговельна комісія США,[14] та багато інших.
  • Модель зрілості із забезпечення впевненості у програмному забезпеченні OWASP: Модель зрілості із забезпечення впевненості у програмному забезпеченні(Software Assurance Maturity Model, SAMM) — проєкт з метою допомогти організаціям сформулювати та імплементувати стратегію безпеки застосувань, яка адаптовану до конкретних бізнес-ризиків, з якими стикається організація.
  • Настанова з розробки OWASP: Настанова з розробки представляє практичне керівництво та включає приклади коду мовами J2EE, ASP.NET, та PHP. Настанова з розробки охоплює широкий спектр питань безпеки на рівні застосувань, починаючи від SQL-ін'єкцій до сучасних проблем, таких як фішинг, використання кредитних карток, закріплення сеансів, підробки міжсайтових запитів, відповідність вимогам конфіденційності та приватності.
  • Настанова з тестування OWASP [Архівовано 25 березня 2018 у Wayback Machine.]: Настанова з тестування включає найкращі практики з тестування на проникнення, які користувачі можуть впровадити у своїх організаціях, та настанову з низькорівневого тестування на проникнення, яка описує методики перевірки найбільш загальних проблем безпеки вебзастосувань та вебсервісів. Версія 4 була опублікована 4 вересня 2014 із внеском від більш ніж 60 осіб.[15]
  • Настанова з огляду коду OWASP: настанова з огляду коду має номер поточної версії 1.1 і є другою найбільш продаваною книгою OWASP у 2008.
  • Стандарт перевірки безпеки застосувань OWASP [Архівовано 15 лютого 2018 у Wayback Machine.] (Application Security Verification Standard, ASVS): стандарт перевірки безпеки на рівні застосувань.[16]
  • Проєкт критеріїв оцінки шлюзу безпеки XML OWASP (XML Security Gateway, XSG) .[17]
  • Настанова OWASP з реагування на топ десять інцидентів. Цей проєкт надає проактивний підхід до планування реагування на інциденти. Документ призначений для аудиторії, що включає власників бізнесу, інженерів з безпеки, розробників, аудиторів, керівників програм, правоохоронців та юристів.[18]
  • OWASP ZAP Project: The Zed Attack Proxy (ZAP) [Архівовано 29 березня 2018 у Wayback Machine.] являє собою простий у використанні інтегрований інструмент тестування на проникнення для пошуку вразливостей у вебзастосуваннях. Він призначений для використання людьми з різноманітним досвідом безпеки, включаючи розробників та функціональних тестерів, які є новачками в тестуванні на проникнення.
  • Webgoat: навмисно небезпечний вебдодаток, створений OWASP для навчання для безпечним методам програмування.[1] Після завантаження програма поставляється з підручником та набором різних уроків, які вказують учням, як експлуатувати вразливості, з метою навчити їх писати безпечний код.
  • OWASP AppSec Pipeline: Проєкт DevOps Pipeline Project це місце для пошуку інформації, необхідної для збільшення швидкості та автоматизації програми безпеки застосувань. AppSec використовують принципи DevOps і Lean і застосовують це до програми безпеки безпеки застосувань.[19]

Нагороди

Організація OWASP отримала у 2014 нагороду SC Magazine.[5][20]

Див. також

Примітки

  1. а б в Huseby, Sverre (2004). Innocent Code: A Security Wake-Up Call for Web Programmers. Wiley. с. 203. ISBN 0470857447.
  2. IRS 501(c)(3) Determination Letter — 2004.
  3. Nonprofit Explorer: Research Tax-Exempt Organizations
  4. OWASP top 10 vulnerabilities. developerWorks. IBM. 20 квітня 2015. Архів оригіналу за 8 грудня 2015. Процитовано 28 листопада 2015.
  5. а б SC Magazine Awards 2014 (PDF). Media.scmagazine.com. Архів оригіналу (PDF) за 22 вересня 2014. Процитовано 3 листопада 2014. [Архівовано 2014-09-22 у Wayback Machine.]
  6. Curphey, Mark. The Start of OWASP – A True Story - SourceClear. SRC:CLR. Архів оригіналу за 14 липня 2014. Процитовано 17 липня 2014. [Архівовано 2014-07-14 у Wayback Machine.]
  7. Board [Архівовано 16 вересня 2017 у Wayback Machine.]. OWASP. Retrieved on 2015-02-27.
  8. OWASP Europe [Архівовано 27 листопада 2016 у Wayback Machine.], OWASP, 2016
  9. OWASP Top Ten Project on owasp.org. Архів оригіналу за 1 грудня 2019. Процитовано 18 березня 2018.
  10. Trevathan, Matt (1 жовтня 2015). Seven Best Practices for Internet of Things. Database and Network Journal. Архів оригіналу за 28 листопада 2015. Процитовано 28 листопада 2015 — через HighBeam Research[en]. [Архівовано 28 листопада 2015 у Wayback Machine.]
  11. Crosman, Penny (24 липня 2015). Leaky Bank Websites Let Clickjacking, Other Threats Seep In. American Banker. Архів оригіналу за 28 листопада 2015. Процитовано 28 листопада 2015 — через HighBeam Research. [Архівовано 28 листопада 2015 у Wayback Machine.]
  12. Pauli, Darren (4 грудня 2015). Infosec bods rate app languages; find Java 'king', put PHP in bin. The Register. Архів оригіналу за 5 грудня 2015. Процитовано 4 грудня 2015.
  13. Payment Card Industry (PCI) Data Security Standard (PDF). PCI Security Standards Council. November 2013. с. 55. Архів оригіналу (PDF) за 20 листопада 2013. Процитовано 3 грудня 2015.
  14. Open Web Application Security Project Top 10 (OWASP Top 10). Knowledge Database. Synopsys. Synopsys, Inc. 2017. Архів оригіналу за 5 липня 2017. Процитовано 20 липня 2017. Many entities including the PCI Security Standards Council, National Institute of Standards and Technology (NIST), and the Federal Trade Commission (FTC) regularly reference the OWASP Top 10 as an integral guide for mitigating Web application vulnerabilities and meeting compliance initiatives.
  15. Pauli, Darren (18 вересня 2014). Comprehensive guide to obliterating web apps published. The Register. Архів оригіналу за 6 квітня 2019. Процитовано 28 листопада 2015.
  16. Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees (2015). Foundations of Information Security Based on ISO27001 and ISO27002 (вид. 3). Van Haren. с. 144. ISBN 9789401800129.
  17. Category:OWASP XML Security Gateway Evaluation Criteria Project Latest. Owasp.org. Архів оригіналу за 3 листопада 2014. Процитовано 3 листопада 2014. [Архівовано 2014-11-03 у Wayback Machine.]
  18. Архівована копія. Архів оригіналу за 6 квітня 2019. Процитовано 25 березня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання) [Архівовано 2019-04-06 у Wayback Machine.]
  19. OWASP AppSec Pipeline. Open Web Application Security Project (OWASP). Архів оригіналу за 27 лютого 2017. Процитовано 26 лютого 2017. [Архівовано 2017-02-27 у Wayback Machine.]
  20. Winners | SC Magazine Awards. Awards.scmagazine.com. Архів оригіналу за 20 серпня 2014. Процитовано 17 липня 2014. Editor's Choice [...] Winner: OWASP Foundation [Архівовано 2014-08-20 у Wayback Machine.]

Посилання

Замок Це незавершена стаття з інформаційної безпеки.
Ви можете допомогти проєкту, виправивши або дописавши її.