El Open Web Application Security Project ( OWASP ) es una comunidad en línea que produce artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente en el campo de la seguridad de aplicaciones web . [4] [5]
Fundado | 2001 [1] |
---|---|
Fundador | Mark Curphey [1] |
Tipo | 501 (c) (3) Organización sin fines de lucro |
Enfocar | Seguridad web, seguridad de aplicaciones, evaluación de vulnerabilidades |
Método | Estándares de la industria, conferencias, talleres |
Junta Directiva | Martin Knobloch, presidente; Owen Pendlebury, vicepresidente; Sherif Mansour, Tesorero; Ofer Maor, secretario; Chenxi Wang; Richard Greenberg; Gary Robinson |
Gente clave | Mike McCamon, director ejecutivo interino; Kelly Santalucia, Directora de Soporte Corporativo; Harold Blankenship, Director de Proyectos y Tecnología; Dawn Aitken, gerente de la comunidad; Lisa Jones, Gerente de Proyectos y Patrocinio; Matt Tesauro, director de comunidad y operaciones |
Ingresos (2017) | $ 2,3 millones [2] |
Empleados | 700 (2017) [3] |
Voluntarios | aprox. 13.000 (2017) [3] |
Sitio web | owasp |
Historia
Mark Curphey fundó OWASP el 9 de septiembre de 2001. [1] Jeff Williams se desempeñó como presidente voluntario de OWASP desde finales de 2003 hasta septiembre de 2011. A partir de 2015[actualizar]Matt Konda presidió la Junta. [6]
La Fundación OWASP, una organización sin fines de lucro 501 (c) (3) en los EE. UU. Establecida en 2004, apoya la infraestructura y los proyectos de OWASP. Desde 2011, OWASP también está registrada como una organización sin fines de lucro en Bélgica bajo el nombre de OWASP Europe VZW. [7]
Publicaciones y recursos
- OWASP Top Ten: El "Top Ten", publicado por primera vez en 2003, se actualiza periódicamente. [8] Tiene como objetivo crear conciencia sobre la seguridad de las aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones. [9] [10] [11] Muchos estándares, libros, herramientas y muchas organizaciones hacen referencia al proyecto Top 10, incluidos MITRE, PCI DSS , [12] la Agencia de Sistemas de Información de Defensa ( DISA-STIG ) y la Agencia Federal de los Estados Unidos. Comisión de Comercio (FTC), [13]
- Modelo de madurez de aseguramiento de software de OWASP: el proyecto Modelo de madurez de aseguramiento de software (SAMM) está comprometido con la construcción de un marco utilizable para ayudar a las organizaciones a formular e implementar una estrategia de seguridad de aplicaciones que se adapte a los riesgos comerciales específicos que enfrenta la organización.
- Guía de desarrollo de OWASP: la guía de desarrollo proporciona una guía práctica e incluye ejemplos de código J2EE, ASP.NET y PHP. La Guía de desarrollo cubre una amplia gama de problemas de seguridad a nivel de aplicación, desde la inyección de SQL hasta preocupaciones modernas como phishing, manejo de tarjetas de crédito, fijación de sesiones, falsificaciones de solicitudes entre sitios, cumplimiento y problemas de privacidad.
- Guía de prueba de OWASP: La Guía de prueba de OWASP incluye un marco de prueba de penetración de "mejores prácticas" que los usuarios pueden implementar en sus propias organizaciones y una guía de prueba de penetración de "bajo nivel" que describe técnicas para probar la aplicación web y los problemas de seguridad de servicios web más comunes. La versión 4 se publicó en septiembre de 2014, con aportaciones de 60 personas. [14]
- Guía de revisión de código de OWASP: la guía de revisión de código se encuentra actualmente en la versión 2.0, publicada en julio de 2017.
- Estándar de verificación de seguridad de aplicaciones OWASP (ASVS): un estándar para realizar verificaciones de seguridad a nivel de aplicación. [15]
- Proyecto de criterios de evaluación de OWASP XML Security Gateway (XSG). [dieciséis]
- Guía de respuesta a incidentes de OWASP Top 10. Este proyecto proporciona un enfoque proactivo para la planificación de respuesta a incidentes. La audiencia a la que se dirige este documento incluye a propietarios de negocios a ingenieros de seguridad, desarrolladores, auditoría, gerentes de programas, aplicación de la ley y consejo legal. [17]
- Proyecto OWASP ZAP: Zed Attack Proxy (ZAP) es una herramienta de prueba de penetración integrada fácil de usar para encontrar vulnerabilidades en aplicaciones web. Está diseñado para ser utilizado por personas con una amplia gama de experiencia en seguridad, incluidos desarrolladores y probadores funcionales que son nuevos en las pruebas de penetración.
- Webgoat: una aplicación web deliberadamente insegura creada por OWASP como guía para prácticas de programación seguras. [1] Una vez descargada, la aplicación viene con un tutorial y un conjunto de lecciones diferentes que instruyen a los estudiantes sobre cómo explotar las vulnerabilidades con la intención de enseñarles a escribir código de forma segura.
- Pipeline de OWASP AppSec: El proyecto de canalización de DevOps resistente de seguridad de aplicaciones (AppSec) es un lugar para encontrar la información necesaria para aumentar la velocidad y la automatización de un programa de seguridad de aplicaciones. AppSec Pipelines toma los principios de DevOps y Lean y los aplica a un programa de seguridad de aplicaciones. [18]
- OWASP Automated Threats to Web Applications: Publicado en julio de 2015 [19] - El proyecto OWASP Automated Threats to Web Applications Project tiene como objetivo proporcionar información definitiva y otros recursos para arquitectos, desarrolladores, evaluadores y otros para ayudar a defenderse contra amenazas automatizadas como el relleno de credenciales . El proyecto describe las 20 principales amenazas automatizadas definidas por OWASP. [20]
- Proyecto de seguridad de API de OWASP: se centra en estrategias y soluciones para comprender y mitigar las vulnerabilidades y los riesgos de seguridad únicos de las interfaces de programación de aplicaciones (API). Incluye la lista más reciente de API Security Top 10 2019. [21]
Premios
La organización OWASP recibió el premio Elección del Editor de la Revista Haymarket Media Group SC 2014 . [5] [22]
Ver también
Referencias
- ↑ a b c d Huseby, Sverre (2004). Código inocente: una llamada de atención de seguridad para programadores web . Wiley. pag. 203 . ISBN 0470857447.
- ^ "FUNDACIÓN OWASP INC" . Explorador sin fines de lucro . ProPublica . Consultado el 8 de enero de 2020 .
- ^ a b "Formulario 990 de la Fundación OWASP para el año fiscal que finaliza en diciembre de 2017" . 26 de octubre de 2018 . Recuperado el 8 de enero de 2020 , a través de ProPublica Nonprofit Explorer.
- ^ "OWASP top 10 vulnerabilidades" . developerWorks . IBM. 20 de abril de 2015 . Consultado el 28 de noviembre de 2015 .
- ^ a b "Premios Revista SC 2014" (PDF) . Media.scmagazine.com. Archivado desde el original (PDF) el 22 de septiembre de 2014 . Consultado el 3 de noviembre de 2014 .
- ^ Junta archivada el 16 de septiembre de 2017 en Wayback Machine . OWASP. Consultado el 27 de febrero de 2015.
- ^ OWASP Europa , OWASP, 2016
- ^ Proyecto OWASP Top Ten en owasp.org
- ^ Trevathan, Matt (1 de octubre de 2015). "Siete mejores prácticas para Internet de las cosas" . Diario de la base de datos y de la red . Archivado desde el original el 28 de noviembre de 2015 . Consultado el 28 de noviembre de 2015 , a través de HighBeam (se requiere suscripción) .
- ^ Crosman, Penny (24 de julio de 2015). "Los sitios web de bancos con fugas permiten que el secuestro de clics y otras amenazas se filtren" . Banquero estadounidense . Archivado desde el original el 28 de noviembre de 2015 . Consultado el 28 de noviembre de 2015 , a través de HighBeam (se requiere suscripción) .
- ^ Pauli, Darren (4 de diciembre de 2015). "Infosec bods califica los lenguajes de la aplicación; encuentra Java 'rey', coloca PHP en el contenedor" . El registro . Consultado el 4 de diciembre de 2015 .
- ^ "Estándar de seguridad de datos de la industria de tarjetas de pago (PCI)" (PDF) . Consejo de Normas de Seguridad de PCI. Noviembre de 2013. p. 55 . Consultado el 3 de diciembre de 2015 .
- ^ "Proyecto de seguridad de aplicaciones web abiertas Top 10 (OWASP Top 10)" . Base de datos de conocimientos. Sinopsis . Synopsys, Inc. 2017 . Consultado el 20 de julio de 2017 .
Muchas entidades, incluido el PCI Security Standards Council, el Instituto Nacional de Estándares y Tecnología (NIST) y la Comisión Federal de Comercio (FTC), hacen referencia regularmente al OWASP Top 10 como una guía integral para mitigar las vulnerabilidades de las aplicaciones web y cumplir con las iniciativas de cumplimiento.
- ^ Pauli, Darren (18 de septiembre de 2014). "Guía completa para eliminar aplicaciones web publicadas" . El registro . Consultado el 28 de noviembre de 2015 .
- ^ Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees (2015). Fundamentos de la seguridad de la información basada en ISO27001 e ISO27002 (3 ed.). Van Haren. pag. 144. ISBN 9789401800129.
- ^ "Categoría: Proyecto de criterios de evaluación de OWASP XML Security Gateway más reciente" . Owasp.org. Archivado desde el original el 3 de noviembre de 2014 . Consultado el 3 de noviembre de 2014 .
- ^ "Copia archivada" . Archivado desde el original el 6 de abril de 2019 . Consultado el 12 de diciembre de 2015 .Mantenimiento de CS1: copia archivada como título ( enlace )
- ^ "Pipeline de OWASP AppSec" . Proyecto de seguridad de aplicaciones web abiertas (OWASP) . Consultado el 26 de febrero de 2017 .
- ^ "AMENAZAS AUTOMATIZADAS a aplicaciones Web" (PDF) . OWASP. Julio de 2015.
- ^ La lista de eventos de amenazas automatizados
- ^ "Proyecto de seguridad API OWASP - API Security Top 10 2019" . OWASP .
- ^ "Ganadores | Premios Revista SC" . Awards.scmagazine.com. Archivado desde el original el 20 de agosto de 2014 . Consultado el 17 de julio de 2014 .
Ganador de la elección del editor: [...] Fundación OWASP
enlaces externos
- Página web oficial