OWASP
| 成立時間 | 2001[1] |
|---|---|
| 創始人 | Mark Curphey[1] |
| 類型 | 501(c)(3) Nonprofit organization |
| 法律地位 | 特拉華州法公司[*] |
| 方法 | Industry standards, Conferences, Workshops |
董事 | Martin Knobloch, Chair; Chenxi Wang, Co-Chair; Andrew van der Stock, Treasurer; Owen Pendlebury, Secretary; Matt Konda; Greg Anderson; Sherif Mansour |
重要人物 | Karen Staley, Executive Director; Kelly Santalucia, Membership and Business Liaison; Laura Grau, Event Manager; Tiffany Long, Community Manager; Claudia Cassanovas, Project Coordinator; Dawn Aitken, Program Assistant |
| 員工數 | 8 |
志願者數 | 42,000+ |
| 目標 | Web Security, Application Security, Vulnerability Assessment |
| 網站 | www |
開放式Web應用程序安全項目(OWASP)是一個在線社區,在Web應用安全領域提供免費的文章,方法,文檔,工具和技術。[2][3]
歷史[編輯]
Mark Curphey於2001年9月9日創辦了OWASP。[1] Jeff Williams從2003年底到2011年9月擔任OWASP的志願者主席。截至2015年[update],Matt Konda擔任董事會主席。[4]
OWASP基金會是一家成立於2004年的501(c)(3)非營利組織(美國),支持OWASP基礎設施和項目。自2011年以來,OWASP還以OWASP Europe VZW的名義在比利時註冊為非營利組織。[5]
出版物及資源[編輯]
- OWASP Top Ten:2003年首次出版的「Top Ten」會定期更新。[6] 它旨在通過識別組織面臨的一些最重要的風險來提高對應用程序安全性的認識。[7][8][9] 許多標準,書籍,工具和組織參考了Top 10項目,包括MITRE、PCI DSS、[10]國防信息系統局(DISA-STIG)、美國聯邦貿易委員會(FTC)。[11]
- OWASP軟件保障成熟度模型:軟件保障成熟度模型(SAMM)項目致力於構建可用的框架,以幫助組織制定和實施針對組織面臨的特定業務風險量身定製的應用程序安全性策略。
- OWASP開發指南:「開發指南」提供了實用指南,包括J2EE,ASP.NET和PHP代碼示例。「開發指南」涵蓋了廣泛的應用程序級安全問題,從SQL注入到現代問題,如網絡釣魚,信用卡處理,會話固定,跨站請求偽造,合規性和隱私問題。
- OWASP測試指南:OWASP測試指南包括用戶可以在自己的組織中實施的「最佳實踐」滲透測試框架,以及描述測試最常見Web應用程序和Web服務安全問題的技術的「低級」滲透測試指南。第4版於2014年9月發布,共有60人參與。[12]
- OWASP Code Review 指南:code review指南目前發布版本為2.0,於2017年7月發布。
- OWASP應用安全驗證標準(ASVS):執行應用程序級安全性驗證的標準。[13]
- OWASP XML安全網關(XSG)評估標準項目。[14]
- OWASP Top 10 事件響應指南:該項目為事件響應計劃提供了主動方法。本文檔的目標讀者包括企業所有者,安全工程師,開發人員,審計人員,項目經理,執法和法律委員會。[15]
- OWASP ZAP項目:Zed Attack Proxy(ZAP)是一種易於使用的集成滲透測試工具,用於查找Web應用程序中的漏洞。它旨在供具有廣泛安全經驗的人員使用,包括不熟悉滲透測試的開發人員和功能測試人員。
- Webgoat:由OWASP創建的故意不安全的Web應用程序,作為安全編程實踐的指南。[1] 下載後,該應用程序會附帶一個教程和一組不同的課程,指導學生如何利用漏洞,以教他們如何安全地編寫代碼。
- OWASP AppSec Pipeline:應用程序安全(AppSec)Rugged DevOps管道項目是一個查找提高應用程序安全程序速度和自動化所需信息的地方。AppSec Pipelines採用DevOps和Lean的原則,並將其應用於應用程序安全程序。[16]
- OWASP對Web應用程序的自動威脅:2015年7月發布[17] — OWASP Web應用自動威脅項目旨在為架構師,開發人員,測試人員和其他人提供確切的信息和其他資源,以幫助抵禦憑證填充等自動威脅。該項目概述了OWASP定義的前20個自動威脅。[18]
獎項[編輯]
OWASP組織獲得2014年SC雜誌編輯選擇獎。[3][19]
另請參閱[編輯]
參考文獻[編輯]
- ^ 1.0 1.1 1.2 1.3 Huseby, Sverre. Innocent Code: A Security Wake-Up Call for Web Programmers. Wiley. 2004: 203. ISBN 0470857447.
- ^ OWASP top 10 vulnerabilities. developerWorks. IBM. 20 April 2015 [28 November 2015]. (原始內容存檔於2019-03-27).
- ^ 3.0 3.1 SC Magazine Awards 2014 (PDF). Media.scmagazine.com. [3 November 2014]. (原始內容 (PDF)存檔於2014-09-22).
- ^ Board (頁面存檔備份,存於網際網路檔案館). OWASP. Retrieved on 2015-02-27.
- ^ OWASP Europe (頁面存檔備份,存於網際網路檔案館), OWASP, 2016
- ^ OWASP Top Ten Project on owasp.org. [2018-12-16]. (原始內容存檔於2019-12-01).
- ^ Trevathan, Matt. Seven Best Practices for Internet of Things. Database and Network Journal. 1 October 2015 [28 November 2015]. (原始內容存檔於2015-11-28) –透過Template:Highbeam.
- ^ Crosman, Penny. Leaky Bank Websites Let Clickjacking, Other Threats Seep In. American Banker. 24 July 2015 [28 November 2015]. (原始內容存檔於2015-11-28) –透過Template:Highbeam.
- ^ Pauli, Darren. Infosec bods rate app languages; find Java 'king', put PHP in bin. The Register. 4 December 2015 [4 December 2015]. (原始內容存檔於2019-04-14).
- ^ Payment Card Industry (PCI) Data Security Standard (PDF). PCI Security Standards Council: 55. November 2013 [3 December 2015]. (原始內容存檔 (PDF)於2016-04-03).
- ^ Open Web Application Security Project Top 10 (OWASP Top 10). Knowledge Database. Synopsys. Synopsys, Inc. 2017 [2017-07-20]. (原始內容存檔於2019-04-06).
Many entities including the PCI Security Standards Council, National Institute of Standards and Technology (NIST), and the Federal Trade Commission (FTC) regularly reference the OWASP Top 10 as an integral guide for mitigating Web application vulnerabilities and meeting compliance initiatives.
- ^ Pauli, Darren. Comprehensive guide to obliterating web apps published. The Register. 18 September 2014 [28 November 2015]. (原始內容存檔於2019-04-06).
- ^ Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees. Foundations of Information Security Based on ISO27001 and ISO27002 3. Van Haren. 2015: 144. ISBN 9789401800129.
- ^ Category:OWASP XML Security Gateway Evaluation Criteria Project Latest. Owasp.org. [November 3, 2014]. (原始內容存檔於2014-11-03).
- ^ 存档副本. [2018-12-16]. (原始內容存檔於2019-04-06).
- ^ OWASP AppSec Pipeline. Open Web Application Security Project (OWASP). [26 February 2017]. (原始內容存檔於2017-02-27).
- ^ AUTOMATED THREATS to Web applications (PDF). OWASP. July 2015 [2018-12-16]. (原始內容存檔 (PDF)於2018-07-11).
- ^ The list of automated threat events. [2018-12-16]. (原始內容存檔於2019-01-26).
- ^ Winners | SC Magazine Awards. Awards.scmagazine.com. [2014-07-17]. (原始內容存檔於2014-08-20).
Editor's Choice [...] Winner: OWASP Foundation