OWASP

|founded_date= |method= |focus= |board_of_directors=

Open Web Application Security Project
Тип	неприбуткова організація організація 501(c)(3)[2]
Засновник	Mark Curphey[1]
Засновано	2001
Правовий статус	Delaware corporationd
Сфера	безпека прикладних програм
Галузь	інформаційна безпека
Країна	США
Ключові особи	Karen Staley, Виконавчий директор; Kelly Santalucia, Членство та ділове співробітництво; Laura Grau, Менеджер подій; Tiffany Long, Менеджер по роботі зі спільнотою; Claudia Cassanovas, Координатор проєктів; Dawn Aitken, Програмний асистент
Штат працівників	8 осіб
Вебсайт: owasp.org
OWASP у Вікісховищі

Відкритий проєкт з безпеки вебзастосунків (Open Web Application Security Project) (OWASP) — онлайн-спільнота, яка створює вільно доступні статті, методології, документацію, інструменти та технології в галузі безпеки вебзастосунків.^[3][4]

Історія

Mark Curphey розпочав проєкт OWASP 9 вересня 2001.^[5] Jeff Williams працював у OWASP Головою як волонтер з кінця 2003 до вересня 2011, після чого Matt Konda очолив Раду.^[6]

Структура

OWASP Foundation, неприбуткова організація в США, заснована 2004 року, підтримує інфраструктуру та проєкти OWASP. З 2011, OWASP також зареєстрована як неприбуткова організація в Бельгії під назвою OWASP Europe VZW.^[7]

Очільники OWASP несуть відповідальність за прийняття рішень про технічне керівництво, пріоритети проєктів, розклад та випуски.

Очільники OWASP можуть сприйматись як менеджмент Фонду OWASP.

У OWASP офіційно працює 3 особи, тому проєкт має надзвичайно низькі видатки, які покриваються конференціями, корпоративними спонсорами і рекламою. OWASP щорічно нагороджує грантами [Архівовано 26 березня 2018 у Wayback Machine.] корпоративних та індивідуальних членів [Архівовано 26 березня 2018 у Wayback Machine.] за розробку перспективних застосунків, які підвищують безпеку.

Публікації та ресурси

• Проєкт OWASP Топ Десять: Проєкт «Топ Десять», вперше опублікований у 2003 і регулярно оновлюється.^[8] Він спрямований на підвищення обізнаності про безпеку застосунків шляхом виявлення деяких найбільш критичних ризиків для організацій.^[9][10][11] Багато стандартів, книг, інструментів та організацій посилаються на OWASP Топ Десять, включно з MITRE^[en], PCI DSS,^[12] Defense Information Systems Agency^[en] (DISA-STIG^[en]), Федеральна торговельна комісія США,^[13] та багато інших.
• Модель зрілості із забезпечення впевненості у програмному забезпеченні OWASP: Модель зрілості із забезпечення впевненості у програмному забезпеченні(Software Assurance Maturity Model, SAMM) — проєкт з метою допомогти організаціям сформулювати та імплементувати стратегію безпеки застосувань, яка адаптовану до конкретних бізнес-ризиків, з якими стикається організація.
• Настанова з розробки OWASP: Настанова з розробки представляє практичне керівництво та включає приклади коду мовами J2EE, ASP.NET, та PHP. Настанова з розробки охоплює широкий спектр питань безпеки на рівні застосувань, починаючи від SQL-ін'єкцій до сучасних проблем, таких як фішинг, використання кредитних карток, закріплення сеансів, підробки міжсайтових запитів, відповідність вимогам конфіденційності та приватності.
• Настанова з тестування OWASP [Архівовано 25 березня 2018 у Wayback Machine.]: Настанова з тестування включає найкращі практики з тестування на проникнення, які користувачі можуть впровадити у своїх організаціях, та настанову з низькорівневого тестування на проникнення, яка описує методики перевірки найбільш загальних проблем безпеки вебзастосувань та вебсервісів. Версія 4 була опублікована 4 вересня 2014 із внеском від більш ніж 60 осіб.^[14]
• Настанова з огляду коду OWASP: настанова з огляду коду має номер поточної версії 1.1 і є другою найбільш продаваною книгою OWASP у 2008.
• Стандарт перевірки безпеки застосувань OWASP [Архівовано 15 лютого 2018 у Wayback Machine.] (Application Security Verification Standard, ASVS): стандарт перевірки безпеки на рівні застосувань.^[15]
• Проєкт критеріїв оцінки шлюзу безпеки XML OWASP (XML Security Gateway, XSG) .^[16]
• Настанова OWASP з реагування на топ десять інцидентів. Цей проєкт надає проактивний підхід до планування реагування на інциденти. Документ призначений для аудиторії, що включає власників бізнесу, інженерів з безпеки, розробників, аудиторів, керівників програм, правоохоронців та юристів.^[17]
• OWASP ZAP Project: The Zed Attack Proxy (ZAP) [Архівовано 29 березня 2018 у Wayback Machine.] являє собою простий у використанні інтегрований інструмент тестування на проникнення для пошуку вразливостей у вебзастосуваннях. Він призначений для використання людьми з різноманітним досвідом безпеки, включаючи розробників та функціональних тестерів, які є новачками в тестуванні на проникнення.
• Webgoat: навмисно небезпечний вебдодаток, створений OWASP для навчання для безпечним методам програмування.^[1] Після завантаження програма поставляється з підручником та набором різних уроків, які вказують учням, як експлуатувати вразливості, з метою навчити їх писати безпечний код.
• OWASP AppSec Pipeline: Проєкт DevOps Pipeline Project це місце для пошуку інформації, необхідної для збільшення швидкості та автоматизації програми безпеки застосувань. AppSec використовують принципи DevOps і Lean і застосовують це до програми безпеки безпеки застосувань.^[18]

Нагороди

Організація OWASP отримала у 2014 нагороду SC Magazine.^[4][19]

Див. також

• Metasploit Project
• w3af^[en]

Примітки

1. Huseby, Sverre (2004). Innocent Code: A Security Wake-Up Call for Web Programmers. Wiley. с. 203. ISBN 0470857447.
2. IRS 501(c)(3) Determination Letter — 2004.
3. OWASP top 10 vulnerabilities. developerWorks. IBM. 20 квітня 2015. Архів оригіналу за 8 грудня 2015. Процитовано 28 листопада 2015.
4. SC Magazine Awards 2014 (PDF). Media.scmagazine.com. Архів оригіналу (PDF) за 22 вересня 2014. Процитовано 3 листопада 2014.
5. Curphey, Mark. The Start of OWASP – A True Story - SourceClear. SRC:CLR. Архів оригіналу за 14 липня 2014. Процитовано 17 липня 2014.
6. Board [Архівовано 16 вересня 2017 у Wayback Machine.]. OWASP. Retrieved on 2015-02-27.
7. OWASP Europe [Архівовано 27 листопада 2016 у Wayback Machine.], OWASP, 2016
8. OWASP Top Ten Project on owasp.org. Архів оригіналу за 1 грудня 2019. Процитовано 18 березня 2018.
9. Trevathan, Matt (1 жовтня 2015). Seven Best Practices for Internet of Things. Database and Network Journal. Архів оригіналу за 28 листопада 2015. Процитовано 28 листопада 2015 — через HighBeam Research^[en]. {{cite news}}: Cite використовує застарілий параметр |subscription= (довідка)
10. Crosman, Penny (24 липня 2015). Leaky Bank Websites Let Clickjacking, Other Threats Seep In. American Banker. Архів оригіналу за 28 листопада 2015. Процитовано 28 листопада 2015 — через HighBeam Research. {{cite news}}: Cite використовує застарілий параметр |subscription= (довідка)
11. Pauli, Darren (4 грудня 2015). Infosec bods rate app languages; find Java 'king', put PHP in bin. The Register. Архів оригіналу за 5 грудня 2015. Процитовано 4 грудня 2015.
12. Payment Card Industry (PCI) Data Security Standard (PDF). PCI Security Standards Council. November 2013. с. 55. Архів оригіналу (PDF) за 20 листопада 2013. Процитовано 3 грудня 2015.
13. Open Web Application Security Project Top 10 (OWASP Top 10). Knowledge Database. Synopsys. Synopsys, Inc. 2017. Архів оригіналу за 5 липня 2017. Процитовано 20 липня 2017. Many entities including the PCI Security Standards Council, National Institute of Standards and Technology (NIST), and the Federal Trade Commission (FTC) regularly reference the OWASP Top 10 as an integral guide for mitigating Web application vulnerabilities and meeting compliance initiatives.
14. Pauli, Darren (18 вересня 2014). Comprehensive guide to obliterating web apps published. The Register. Архів оригіналу за 6 квітня 2019. Процитовано 28 листопада 2015.
15. Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees (2015). Foundations of Information Security Based on ISO27001 and ISO27002 (вид. 3). Van Haren. с. 144. ISBN 9789401800129.
16. Category:OWASP XML Security Gateway Evaluation Criteria Project Latest. Owasp.org. Архів оригіналу за 3 листопада 2014. Процитовано 3 листопада 2014.
17. Архівована копія. Архів оригіналу за 6 квітня 2019. Процитовано 25 березня 2018.
18. OWASP AppSec Pipeline. Open Web Application Security Project (OWASP). Архів оригіналу за 27 лютого 2017. Процитовано 26 лютого 2017.
19. Winners | SC Magazine Awards. Awards.scmagazine.com. Архів оригіналу за 20 серпня 2014. Процитовано 17 липня 2014. Editor's Choice [...] Winner: OWASP Foundation

Посилання

• www.owasp.org — офіційний сайт «OWASP».