OWASP

|founded_date= |method= |focus= |board_of_directors=

Open Web Application Security Project
Абревіатура	OWASP(англ.)
Тип	неприбуткова організація організація 501(c)(3)[1]
Засновник	Mark Curphey[2]
Засновано	2001
Правовий статус	делаверська корпорація
Сфера	безпека прикладних програм
Галузь	комп'ютерна безпека
Країна	США
Штаб-квартира	Вілмінгтон
39°44′47″ пн. ш. 75°33′03″ зх. д.
Продукція	SecurityRATd, Q135267368?
Ключові особи	Karen Staley, Виконавчий директор; Kelly Santalucia, Членство та ділове співробітництво; Laura Grau, Менеджер подій; Tiffany Long, Менеджер по роботі зі спільнотою; Claudia Cassanovas, Координатор проєктів; Dawn Aitken, Програмний асистент
Штат працівників	8 осіб
Дохід	▲2 913 675 $ (2022)[3]
Вебсайт: owasp.org
OWASP у Вікісховищі

Відкритий проєкт з безпеки вебзастосунків (Open Web Application Security Project) (OWASP) — онлайн-спільнота, яка створює вільно доступні статті, методології, документацію, інструменти та технології в галузі безпеки вебзастосунків.^[4][5]

Історія

Mark Curphey розпочав проєкт OWASP 9 вересня 2001.^[6] Jeff Williams працював у OWASP Головою як волонтер з кінця 2003 до вересня 2011, після чого Matt Konda очолив Раду.^[7]

Структура

OWASP Foundation, неприбуткова організація в США, заснована 2004 року, підтримує інфраструктуру та проєкти OWASP. З 2011, OWASP також зареєстрована як неприбуткова організація в Бельгії під назвою OWASP Europe VZW.^[8]

Очільники OWASP несуть відповідальність за прийняття рішень про технічне керівництво, пріоритети проєктів, розклад та випуски.

Очільники OWASP можуть сприйматись як менеджмент Фонду OWASP.

У OWASP офіційно працює 3 особи, тому проєкт має надзвичайно низькі видатки, які покриваються конференціями, корпоративними спонсорами і рекламою. OWASP щорічно нагороджує грантами [Архівовано 26 березня 2018 у Wayback Machine.] корпоративних та індивідуальних членів [Архівовано 26 березня 2018 у Wayback Machine.] за розробку перспективних застосунків, які підвищують безпеку.

Публікації та ресурси

• Проєкт OWASP Топ Десять: Проєкт «Топ Десять», вперше опублікований у 2003 і регулярно оновлюється.^[9] Він спрямований на підвищення обізнаності про безпеку застосунків шляхом виявлення деяких найбільш критичних ризиків для організацій.^[10][11][12] Багато стандартів, книг, інструментів та організацій посилаються на OWASP Топ Десять, включно з MITRE^[en], PCI DSS,^[13] Defense Information Systems Agency^[en] (DISA-STIG^[en]), Федеральна торговельна комісія США,^[14] та багато інших.
• Модель зрілості із забезпечення впевненості у програмному забезпеченні OWASP: Модель зрілості із забезпечення впевненості у програмному забезпеченні(Software Assurance Maturity Model, SAMM) — проєкт з метою допомогти організаціям сформулювати та імплементувати стратегію безпеки застосувань, яка адаптовану до конкретних бізнес-ризиків, з якими стикається організація.
• Настанова з розробки OWASP: Настанова з розробки представляє практичне керівництво та включає приклади коду мовами J2EE, ASP.NET, та PHP. Настанова з розробки охоплює широкий спектр питань безпеки на рівні застосувань, починаючи від SQL-ін'єкцій до сучасних проблем, таких як фішинг, використання кредитних карток, закріплення сеансів, підробки міжсайтових запитів, відповідність вимогам конфіденційності та приватності.
• Настанова з тестування OWASP [Архівовано 25 березня 2018 у Wayback Machine.]: Настанова з тестування включає найкращі практики з тестування на проникнення, які користувачі можуть впровадити у своїх організаціях, та настанову з низькорівневого тестування на проникнення, яка описує методики перевірки найбільш загальних проблем безпеки вебзастосувань та вебсервісів. Версія 4 була опублікована 4 вересня 2014 із внеском від більш ніж 60 осіб.^[15]
• Настанова з огляду коду OWASP: настанова з огляду коду має номер поточної версії 1.1 і є другою найбільш продаваною книгою OWASP у 2008.
• Стандарт перевірки безпеки застосувань OWASP [Архівовано 15 лютого 2018 у Wayback Machine.] (Application Security Verification Standard, ASVS): стандарт перевірки безпеки на рівні застосувань.^[16]
• Проєкт критеріїв оцінки шлюзу безпеки XML OWASP (XML Security Gateway, XSG) .^[17]
• Настанова OWASP з реагування на топ десять інцидентів. Цей проєкт надає проактивний підхід до планування реагування на інциденти. Документ призначений для аудиторії, що включає власників бізнесу, інженерів з безпеки, розробників, аудиторів, керівників програм, правоохоронців та юристів.^[18]
• OWASP ZAP Project: The Zed Attack Proxy (ZAP) [Архівовано 29 березня 2018 у Wayback Machine.] являє собою простий у використанні інтегрований інструмент тестування на проникнення для пошуку вразливостей у вебзастосуваннях. Він призначений для використання людьми з різноманітним досвідом безпеки, включаючи розробників та функціональних тестерів, які є новачками в тестуванні на проникнення.
• Webgoat: навмисно небезпечний вебдодаток, створений OWASP для навчання для безпечним методам програмування.^[2] Після завантаження програма поставляється з підручником та набором різних уроків, які вказують учням, як експлуатувати вразливості, з метою навчити їх писати безпечний код.
• OWASP AppSec Pipeline: Проєкт DevOps Pipeline Project це місце для пошуку інформації, необхідної для збільшення швидкості та автоматизації програми безпеки застосувань. AppSec використовують принципи DevOps і Lean і застосовують це до програми безпеки безпеки застосувань.^[19]

Нагороди

Організація OWASP отримала у 2014 нагороду SC Magazine.^[5][20]

Див. також

• Metasploit Project
• w3af^[en]