Open Worldwide Application Security Project
Das Open Worldwide Application Security Project (OWASP) ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen, Diensten und Software im Allgemeinen zu verbessern. Durch Schaffung von Transparenz sollen Endanwender und Organisationen fundierte Entscheidungen über wirkliche Sicherheitsrisiken in Software treffen können.
An der OWASP-Community sind Firmen, Bildungseinrichtungen und Einzelpersonen aus aller Welt beteiligt. Innerhalb der Gemeinschaft werden frei verfügbare Informationsmaterialien, Methoden, Werkzeuge und Technologien erarbeitet.
Das OWASP steht nicht in direkter Verbindung mit Technologiefirmen, obgleich es den bedachten Einsatz von Sicherheitstechnologie unterstützt. Direkte Verbindungen werden vermieden, um frei von organisationsseitigen Zwängen zu sein. Dadurch soll es für das OWASP leichter sein, unvoreingenommene, praxisnahe und wirtschaftliche Informationen über Applikationssicherheit bereitzustellen.
Projekte
BearbeitenDas OWASP gliedert seine Arbeit in einer Vielzahl von Projekten. Einige davon befinden sich in einem experimentellen Status oder werden nicht aktiv weiterentwickelt. Andere Projekte befinden sich auf einem Entwicklungsstand der bereit zur produktiven Verwendung ist. Unter der Bezeichnung „Flagship Projects“ führt das OWASP 15 Projekte[1] mit einem hohen Reifegrad, denen eine besondere strategische Bedeutung für das OWASP und die Anwendungssicherheit im Allgemeinen beigemessen wird.
Die „Flagship Projects“ des OWASP sind:
- OWASP Amass
- Ein Framework zur Kartierung der Angriffsoberfläche einer Organisation.
- OWASP Application Security Verification Standard (ASVS)
- Eine Liste standardisierter Sicherheitsanforderungen und Maßnahmen, die bei der Entwicklung sicherer Anwendungen unterstützen soll.
- OWASP Cheat Sheet Series
- eine Serie von kompakten Übersichtsseiten, die etablierte Best Practices zur sicheren Softwareentwicklung beschreiben.
- OWASP CycloneDX
- Ein Standard zur Dokumentation der in einem Projekt verwendeten Komponenten.
- OWASP Defectdojo
- Ein System zur Verwaltung bekannter Schwachstellen in einem Software-Projekt.
- OWASP Dependency-Check
- Ein Werkzeug zur automatisierten Überprüfung von Software-Abhängigkeiten auf Versionen mit bekannten Schwachstellen.
- OWASP Dependency-Track
- Ein weiteres Werkzeug zur Analyse der in einem Projekt verwendeten Komponenten.
- OWASP Juice Shop
- Eine bewusst Schwachstellenbehaftete Anwendung, welche zum Selbststudium, sowie zu Ausbildungs- und Demonstrationszwecken verwendet werden kann.
- OWASP Mobile Application Security (MAS)
- Ein Standard zur sicheren Entwicklung und Überprüfung mobiler Anwendungen.
- OWASP ModSecurity Core Rule Set (CRS)
- Eine Liste von Filterregeln für Web Application Firewalls
- OWASP Offensive Web Testing Framework (OWTF)
- Eine größtenteils in Python entwickelte Sammlung von Werkzeugen zur effizienteren Durchführung von Sicherheits-Überprüfungen.
- OWASP Software Assurance Maturity Model (SAMM)
- Ein Modell um den sicherheitstechnischen Entwicklungsstand einer Software messbar zu machen.
- OWASP Security Shepherd
- Eine Plattform zur Vermittlung von Wissen über Anwendungssicherheit
- OWASP Top Ten
- Eine Liste von zehn Arten von Webanwendungs-Schwachstellen, welche das OWASP als besonders kritisch ansieht.
- OWASP Web Security Testing Guide
- Eine Leitlinie zur Sicherheits-Überprüfung von Anwendungen.
Organisation
BearbeitenDas OWASP hat fünf Angestellte und sehr geringe Ausgaben, die durch Konferenzen, Sponsoring und Werbebanner abgedeckt werden. Es werden jährlich tausende US-Dollar an Prämien als Zuschüsse für vielversprechende Applikations-Sicherheits-Forschungsprojekte ausgezahlt.[2]
Die Mitglieder des OWASP organisieren sich in Chaptern, welche unter anderem eigenständig lokale Treffen zum Thema Informationssicherheit veranstalten.
Auszeichnungen
BearbeitenDie OWASP-Organisation erhielt 2014 die Auszeichnung „Editor’s Choice“ des Haymarket Media Group SC Magazine.[3]
Siehe auch
BearbeitenWeblinks
BearbeitenEinzelnachweise
Bearbeiten- ↑ https://owasp.org/projects/#flagship-projects
- ↑ https://owasp.org/finance/
- ↑ Haymarket Media Group SC Magazine: SC Magazine Avard 2014. 25. Februar 2014, archiviert vom (nicht mehr online verfügbar) am 22. September 2014; abgerufen am 2. August 2023. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.