organización de seguridad informática
El Open Worldwide Application Security Project ( OWASP ) es una comunidad en línea que produce artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente en los campos de IoT, software de sistemas y seguridad de aplicaciones web . [8] [9] [10] El OWASP proporciona recursos gratuitos y abiertos. Está dirigido por una organización sin fines de lucro llamada The OWASP Foundation. El OWASP Top 10 - 2021 es el resultado publicado de una investigación reciente basada en datos completos recopilados de más de 40 organizaciones asociadas.
Historia
Mark Curphey fundó OWASP el 9 de septiembre de 2001. [1] Jeff Williams se desempeñó como presidente voluntario de OWASP desde finales de 2003 hasta septiembre de 2011. A partir de 2015 [actualizar], Matt Konda presidió la Junta. [11]
La Fundación OWASP, una organización sin fines de lucro 501(c)(3) en los EE. UU. establecida en 2004, apoya la infraestructura y los proyectos de OWASP. Desde 2011, OWASP también está registrada como organización sin ánimo de lucro en Bélgica con el nombre de OWASP Europe VZW. [12]
En febrero de 2023, Bil Corry, funcionario de la Junta Directiva Global de la Fundación OWASP, [13] en Twitter informó que la junta había votado a favor de cambiar el nombre de Open Web Application Security Project a su nombre actual, reemplazando Web con Mundial.
Publicaciones y recursos
- OWASP Top Ten: El "Top Ten", publicado por primera vez en 2003, se actualiza periódicamente. [14] Su objetivo es crear conciencia sobre la seguridad de las aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones. [15] [16] [17] Muchos estándares, libros, herramientas y muchas organizaciones hacen referencia al proyecto Top 10, incluidos MITRE, PCI DSS , [18] la Agencia de Sistemas de Información de Defensa ( DISA-STIG ) y la Agencia Federal de Estados Unidos. Comisión de Comercio (FTC), [19]
- Modelo de madurez de aseguramiento de software de OWASP: La misión del proyecto Modelo de madurez de aseguramiento de software (SAMM) es proporcionar una manera efectiva y mensurable para que todo tipo de organizaciones analicen y mejoren su postura de seguridad de software. Un objetivo central es crear conciencia y educar a las organizaciones sobre cómo diseñar, desarrollar e implementar software seguro a través de un modelo de autoevaluación flexible. SAMM admite todo el ciclo de vida del software y es independiente de la tecnología y los procesos. El modelo SAMM está diseñado para ser de naturaleza evolutiva y basada en riesgos, reconociendo que no existe una receta única que funcione para todas las organizaciones. [20]
- Guía de desarrollo de OWASP: la guía de desarrollo proporciona orientación práctica e incluye ejemplos de código J2EE, ASP.NET y PHP. La Guía de desarrollo cubre una amplia gama de problemas de seguridad a nivel de aplicaciones, desde la inyección SQL hasta preocupaciones modernas como phishing, manejo de tarjetas de crédito, fijación de sesiones, falsificaciones de solicitudes entre sitios, cumplimiento y problemas de privacidad.
- Guía de pruebas de OWASP: La Guía de pruebas de OWASP incluye un marco de pruebas de penetración de "mejores prácticas" que los usuarios pueden implementar en sus propias organizaciones y una guía de pruebas de penetración de "bajo nivel" que describe técnicas para probar los problemas de seguridad de servicios y aplicaciones web más comunes. La versión 4 se publicó en septiembre de 2014, con aportaciones de 60 personas. [21]
- Guía de revisión de código OWASP: La guía de revisión de código se encuentra actualmente en la versión 2.0, lanzada en julio de 2017.
- Estándar de verificación de seguridad de aplicaciones (ASVS) de OWASP: un estándar para realizar verificaciones de seguridad a nivel de aplicaciones. [22]
- Proyecto de criterios de evaluación de OWASP XML Security Gateway (XSG). [23]
- Guía de respuesta a incidentes principales de OWASP. Este proyecto proporciona un enfoque proactivo para la planificación de la respuesta a incidentes. El público objetivo de este documento incluye desde propietarios de empresas hasta ingenieros de seguridad, desarrolladores, auditores, administradores de programas, autoridades policiales y consejos legales. [24]
- Proyecto OWASP ZAP: Zed Attack Proxy (ZAP) es una herramienta de prueba de penetración integrada fácil de usar para encontrar vulnerabilidades en aplicaciones web. Está diseñado para ser utilizado por personas con una amplia gama de experiencia en seguridad, incluidos desarrolladores y evaluadores funcionales que son nuevos en las pruebas de penetración.
- Webgoat: una aplicación web deliberadamente insegura creada por OWASP como guía para prácticas de programación segura. [1] Una vez descargada, la aplicación viene con un tutorial y un conjunto de lecciones diferentes que instruyen a los estudiantes cómo explotar vulnerabilidades con la intención de enseñarles cómo escribir código de forma segura.
- OWASP AppSec Pipeline: El proyecto Rugged DevOps Pipeline de seguridad de aplicaciones (AppSec) es un lugar para encontrar la información necesaria para aumentar la velocidad y la automatización de un programa de seguridad de aplicaciones. AppSec Pipelines toma los principios de DevOps y Lean y los aplica a un programa de seguridad de aplicaciones. [25]
- Amenazas automatizadas de OWASP para aplicaciones web: publicado en julio de 2015 [26] - el Proyecto de amenazas automatizadas de OWASP para aplicaciones web tiene como objetivo proporcionar información definitiva y otros recursos para arquitectos, desarrolladores, evaluadores y otros para ayudar a defenderse contra amenazas automatizadas como el relleno de credenciales . El proyecto describe las 20 principales amenazas automatizadas según las define OWASP. [27]
- Proyecto de seguridad API de OWASP: se centra en estrategias y soluciones para comprender y mitigar las vulnerabilidades y riesgos de seguridad únicos [28] de las interfaces de programación de aplicaciones (API). Incluye la lista más reciente API Security Top 10 2019. [29]
Premios
La organización OWASP recibió el premio 2014 Haymarket Media Group SC Magazine Editor's Choice. [9] [30]
Ver también
Referencias
- ^ abcd Huseby, Sverre (2004). Código inocente: una llamada de atención sobre seguridad para programadores web . Wiley. pag. 203.ISBN 0470857447.
- ^ "Junta Global de la Fundación OWASP". OWASP. 14 de febrero de 2023 . Consultado el 20 de marzo de 2023 .
- ^ "Personal de la Fundación OWASP". OWASP. 12 de febrero de 2023 . Consultado el 3 de mayo de 2022 .
- ^ "FUNDACIÓN OWASP INC". Explorador de organizaciones sin fines de lucro . ProPública . 9 de mayo de 2013 . Consultado el 8 de enero de 2020 .
- ^ "Formulario 990 de la Fundación OWASP para el año fiscal que finaliza en diciembre de 2020". 29 de octubre de 2021 . Consultado el 18 de enero de 2023 a través de ProPublica Nonprofit Explorer.
- ^ "Formulario 990 de la Fundación OWASP para el año fiscal que finaliza en diciembre de 2017". 26 de octubre de 2018 . Consultado el 8 de enero de 2020 a través de ProPublica Nonprofit Explorer.
- ^ "Las 10 principales vulnerabilidades de OWASP". desarrolladorWorks . IBM. 20 de abril de 2015 . Consultado el 28 de noviembre de 2015 .
- ^ ab "Premios Revista SC 2014" (PDF) . Media.scmagazine.com. Archivado desde el original (PDF) el 22 de septiembre de 2014 . Consultado el 3 de noviembre de 2014 .
- ^ "OWASP Internet de las cosas" . Consultado el 26 de diciembre de 2023 .
- ↑ Tablero Archivado el 16 de septiembre de 2017 en Wayback Machine . OWASP. Recuperado el 27 de febrero de 2015.
- ^ OWASP Europa, OWASP, 2016.
- ^ Junta Mundial
- ^ Proyecto OWASP Top Ten en owasp.org
- ^ Trevathan, Matt (1 de octubre de 2015). "Siete mejores prácticas para Internet de las cosas". Diario de bases de datos y redes . Archivado desde el original el 28 de noviembre de 2015.
- ^ Crosman, Penny (24 de julio de 2015). "Los sitios web de bancos con fugas permiten el clickjacking y otras amenazas se filtran". Banquero americano . Archivado desde el original el 28 de noviembre de 2015.
- ^ Pauli, Darren (4 de diciembre de 2015). "Los cuerpos de Infosec califican los lenguajes de aplicaciones; busque el 'rey' de Java, coloque PHP en la papelera". El registro . Consultado el 4 de diciembre de 2015 .
- ^ "Estándar de seguridad de datos de la industria de tarjetas de pago (PCI)" (PDF) . Consejo de Normas de Seguridad PCI. Noviembre de 2013. pág. 55 . Consultado el 3 de diciembre de 2015 .
- ^ "Top 10 de proyectos de seguridad de aplicaciones web abiertas (OWASP Top 10)". Base de datos de conocimientos. Sinopsis . Sinopsis, Inc. 2017 . Consultado el 20 de julio de 2017 .
Muchas entidades, incluido el PCI Security Standards Council, el Instituto Nacional de Estándares y Tecnología (NIST) y la Comisión Federal de Comercio (FTC), hacen referencia periódicamente al OWASP Top 10 como una guía integral para mitigar las vulnerabilidades de las aplicaciones web y cumplir con las iniciativas de cumplimiento.
- ^ "¿Qué es OWASP SAMM?". OWASP SAMM . Consultado el 6 de noviembre de 2022 .
- ^ Pauli, Darren (18 de septiembre de 2014). "Se publicó una guía completa para eliminar aplicaciones web". El registro . Consultado el 28 de noviembre de 2015 .
- ^ Baar, Hans; Smulters, André; Hintzbergen, Juls; Hintzbergen, Kees (2015). Fundamentos de la seguridad de la información basados en ISO27001 e ISO27002 (3 ed.). Van Haren. pag. 144.ISBN 9789401800129.
- ^ "Categoría: Último proyecto de criterios de evaluación de puerta de enlace de seguridad XML de OWASP". Owasp.org. Archivado desde el original el 3 de noviembre de 2014 . Consultado el 3 de noviembre de 2014 .
- ^ "Proyecto de respuesta a incidentes de OWASP - OWASP". Archivado desde el original el 6 de abril de 2019 . Consultado el 12 de diciembre de 2015 .
- ^ "Canalización OWASP AppSec". Proyecto abierto de seguridad de aplicaciones web (OWASP) . Archivado desde el original el 18 de enero de 2020 . Consultado el 26 de febrero de 2017 .
- ^ "AMENAZAS AUTOMATIZADAS a las aplicaciones web" (PDF) . OWASP. Julio de 2015.
- ^
La lista de eventos de amenazas automatizados.
- ^ Mehta, Janki (8 de mayo de 2023). "Mitigación de las 10 principales vulnerabilidades de OWASP en 2023". EncryptedFence de Certera: un blog completo sobre seguridad web . Consultado el 7 de junio de 2023 .
- ^ "Proyecto de seguridad API de OWASP: seguridad API Top 10 2019". OWASP .
- ^ "Ganadores | Premios Revista SC". Premios.scmagazine.com. Archivado desde el original el 20 de agosto de 2014 . Consultado el 17 de julio de 2014 .
Ganador del premio del editor: Fundación OWASP
enlaces externos