OWASP

開放式Web應用程序安全項目（OWASP）是一個在線社區，在Web應用安全（英語：Web application security）領域提供免費的文章，方法，文檔，工具和技術。^[2][3]

OWASP

成立時間	2001[1]
創始人	Mark Curphey[1]
類型	501(c)(3) Nonprofit organization
法律地位	特拉華州法公司[*]
坐標	39°44′47″N 75°33′03″W
方法	Industry standards, Conferences, Workshops
董事	Martin Knobloch, Chair; Chenxi Wang, Co-Chair; Andrew van der Stock, Treasurer; Owen Pendlebury, Secretary; Matt Konda; Greg Anderson; Sherif Mansour
重要人物	Karen Staley, Executive Director; Kelly Santalucia, Membership and Business Liaison; Laura Grau, Event Manager; Tiffany Long, Community Manager; Claudia Cassanovas, Project Coordinator; Dawn Aitken, Program Assistant
收入	2,913,675 美元 (2022年)
捐款	1,084,260 美元 (2022年)
員工數	8
志願者數	42,000+
目標	Web Security, Application Security, Vulnerability Assessment
網站	www.owasp.org

歷史

Mark Curphey於2001年9月9日創辦了OWASP。^[1] Jeff Williams從2003年底到2011年9月擔任OWASP的志願者主席。截至2015年 (2015-Missing required parameter 1=month!)^[update]，Matt Konda擔任董事會主席。^[4]

OWASP基金會是一家成立於2004年的501(c)(3)非營利組織（美國），支持OWASP基礎設施和項目。自2011年以來，OWASP還以OWASP Europe VZW的名義在比利時註冊為非營利組織。^[5]

出版物及資源

• OWASP Top Ten：2003年首次出版的「Top Ten」會定期更新。^[6] 它旨在通過識別組織面臨的一些最重要的風險來提高對應用程序安全性的認識。^[7][8][9] 許多標準，書籍，工具和組織參考了Top 10項目，包括MITRE、PCI DSS（英語：Payment Card Industry Data Security Standard）、^[10]國防信息系統局（英語：Defense Information Systems Agency）（DISA-STIG（英語：Security Technical Implementation Guide））、美國聯邦貿易委員會（FTC）。^[11]
• OWASP軟件保障成熟度模型：軟件保障成熟度模型（SAMM）項目致力於構建可用的框架，以幫助組織制定和實施針對組織面臨的特定業務風險量身定製的應用程序安全性策略。
• OWASP開發指南：「開發指南」提供了實用指南，包括J2EE，ASP.NET和PHP代碼示例。「開發指南」涵蓋了廣泛的應用程序級安全問題，從SQL注入到現代問題，如網絡釣魚，信用卡處理，會話固定，跨站請求偽造，合規性和隱私問題。
• OWASP測試指南：OWASP測試指南包括用戶可以在自己的組織中實施的「最佳實踐」滲透測試框架，以及描述測試最常見Web應用程序和Web服務安全問題的技術的「低級」滲透測試指南。第4版於2014年9月發布，共有60人參與。^[12]
• OWASP Code Review 指南：code review指南目前發布版本為2.0，於2017年7月發布。
• OWASP應用安全驗證標準（ASVS）：執行應用程序級安全性驗證的標準。^[13]
• OWASP XML安全網關（XSG）評估標準項目。^[14]
• OWASP Top 10 事件響應指南：該項目為事件響應計劃提供了主動方法。本文檔的目標讀者包括企業所有者，安全工程師，開發人員，審計人員，項目經理，執法和法律委員會。^[15]
• OWASP ZAP項目：Zed Attack Proxy（ZAP）是一種易於使用的集成滲透測試工具，用於查找Web應用程序中的漏洞。它旨在供具有廣泛安全經驗的人員使用，包括不熟悉滲透測試的開發人員和功能測試人員。
• Webgoat：由OWASP創建的故意不安全的Web應用程序，作為安全編程實踐的指南。^[1] 下載後，該應用程序會附帶一個教程和一組不同的課程，指導學生如何利用漏洞，以教他們如何安全地編寫代碼。
• OWASP AppSec Pipeline：應用程序安全（AppSec）Rugged DevOps管道項目是一個查找提高應用程序安全程序速度和自動化所需信息的地方。AppSec Pipelines採用DevOps和Lean的原則，並將其應用於應用程序安全程序。^[16]
• OWASP對Web應用程序的自動威脅：2015年7月發布^[17] — OWASP Web應用自動威脅項目旨在為架構師，開發人員，測試人員和其他人提供確切的信息和其他資源，以幫助抵禦憑證填充等自動威脅。該項目概述了OWASP定義的前20個自動威脅。^[18]

獎項

OWASP組織獲得2014年SC雜誌編輯選擇獎。^[3][19]

另請參閱

• Metasploit
• w3af