OWASP
редактировать
OWASP |
Основан | 2001 |
---|
Основатель | Марк Керфи |
---|
Тип | 501 (c) (3) Некоммерческая организация |
---|
Focus | Веб-безопасность, безопасность приложений, оценка уязвимости |
---|
Метод | Отраслевые стандарты, конференции, семинары |
---|
Совет директоров | Мартин Кноблох, председатель; Оуэн Пендлбери, заместитель председателя; Шериф Мансур, казначей; Офер Маор, секретарь; Чэньси Ван; Ричард Гринберг; Гэри Робинсон |
---|
Ключевые люди | Майк МакКамон, временный исполнительный директор; Келли Санталусиа, директор по корпоративной поддержке; Гарольд Бланкеншип, директор по проектам и технологиям; Доун Эйткен, менеджер сообщества; Лиза Джонс, менеджер по проектам и спонсорству; Мэтт Тесауро, директор по сообществу и операциям |
---|
Доход (2017) | 2,3 миллиона долларов |
---|
Сотрудники | 7 (2017) |
---|
Волонтеры | прибл. 13,000 (2017 г.) |
---|
Веб-сайт | owasp.org |
---|
Open Web Application Security Project (OWASP ) - это онлайн-сообщество, которое производит свободно доступные статьи, методологии, документация, инструменты и технологии в области безопасности веб-приложений.
Содержание
- 1 История
- 2 Публикации и ресурсы
- 3 Награды
- 4 См. также
- 5 Ссылки
- 6 Внешние ссылки
История
Марк Керфи основал OWASP 9 сентября 2001 года. Джефф Уильямс был добровольным председателем OWASP с конца 2003 по сентябрь 2011 года. По состоянию на 2015 год, Мэтт Конда председательствовал в Правлении.
OWASP Foundation, некоммерческая организация 501 (c) (3) в США, основанная в 2004 году, поддерживает инфраструктуру и проекты OWASP. С 2011 года OWASP также зарегистрирован как некоммерческая организация в Бельгии под названием OWASP Europe VZW.
Публикации и ресурсы
- Десять лучших OWASP: «Десять лучших», впервые опубликовано в 2003 году. регулярно обновляется. Он направлен на повышение осведомленности о безопасности приложений путем выявления некоторых из наиболее серьезных рисков, с которыми сталкиваются организации. Многие стандарты, книги, инструменты и организации ссылаются на проект Top 10, включая MITER, PCI DSS, Defense Information Systems Agency (DISA-STIG ), Федеральная торговая комиссия (FTC) США и многие другие.
- Модель зрелости программы Software Assurance OWASP: проект модели Software Assurance Maturity Model (SAMM) направлен на создание удобной структуры, которая поможет организации формулируют и реализуют стратегию безопасности приложений, адаптированную к конкретным бизнес-рискам, с которыми сталкивается организация.
- Руководство по разработке OWASP: Руководство по разработке предоставляет практическое руководство и включает образцы кода J2EE, ASP.NET и PHP. Руководство разработчика охватывает широкий спектр проблем безопасности на уровне приложений, от внедрения SQL до современных проблем, таких как фишинг, обработка кредитных карт, фиксация сеанса, подделка межсайтовых запросов, соответствие требованиям и вопросы конфиденциальности.
- OWASP Руководство по тестированию: Руководство по тестированию OWASP включает в себя структуру тестирования на проникновение «передовой практики», которую пользователи могут внедрить в своих организациях, и руководство по тестированию на проникновение «низкого уровня», в котором описаны методы тестирования наиболее распространенных проблем безопасности веб-приложений и веб-служб. Версия 4 была опубликована в сентябре 2014 года с участием 60 человек.
- Руководство по обзору кода OWASP: Руководство по обзору кода в настоящее время находится в версии 2.0, выпущенной в июле 2017 года.
- Безопасность приложений OWASP Стандарт проверки (ASVS): стандарт для выполнения проверок безопасности на уровне приложений.
- Проект критериев оценки OWASP XML Security Gateway (XSG).
- Руководство по реагированию на инциденты OWASP Top 10. Этот проект обеспечивает проактивный подход к планированию реагирования на инциденты. Целевая аудитория этого документа включает владельцев бизнеса, инженеров по безопасности, разработчиков, аудиторов, менеджеров программ, правоохранительных органов и юридического совета.
- Проект OWASP ZAP: Zed Attack Proxy (ZAP) - это простой в использовании интегрированный инструмент проникновения инструмент тестирования для поиска уязвимостей в веб-приложениях. Он предназначен для использования людьми с широким спектром опыта в области безопасности, включая разработчиков и функциональных тестеров, которые плохо знакомы с тестированием на проникновение.
- Webgoat: преднамеренно небезопасное веб-приложение, созданное OWASP в качестве руководства по безопасному программированию.. После загрузки приложение поставляется с учебным пособием и набором различных уроков, в которых учащимся рассказывается, как использовать уязвимости с целью научить их безопасному написанию кода.
- OWASP AppSec Pipeline: Безопасность приложения (AppSec) Rugged DevOps Pipeline Project - это место, где можно найти информацию, необходимую для повышения скорости и автоматизации программы обеспечения безопасности приложений. Конвейеры AppSec принимают принципы DevOps и Lean и применяют их к программе безопасности приложений.
- OWASP Автоматизированные угрозы для веб-приложений: опубликовано в июле 2015 г. - цель проекта OWASP Automated Threats to Web Applications Project чтобы предоставить исчерпывающую информацию и другие ресурсы для архитекторов, разработчиков, тестировщиков и других, чтобы помочь защититься от автоматических угроз, таких как заполнение учетных данных. В проекте представлены 20 основных автоматических угроз по определению OWASP.
Награды
Организация OWASP получила в 2014 году награду Haymarket Media Group SC Magazine Editor's Choice.
См. Также
Ссылки
Внешние ссылки