OWASP

Organización de seguridad informática

El Proyecto Abierto Mundial de Seguridad de Aplicaciones ^[7] ( OWASP ) es una comunidad en línea que produce artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente en los campos de IoT , software de sistemas y seguridad de aplicaciones web . ^{[8] [9] [10]} El OWASP proporciona recursos gratuitos y abiertos. Está dirigido por una organización sin fines de lucro llamada The OWASP Foundation. El OWASP Top 10 - 2021 es el resultado publicado de una investigación reciente basada en datos completos compilados de más de 40 organizaciones asociadas.

Historia

Mark Curphey fundó OWASP el 9 de septiembre de 2001. ^[2] Jeff Williams se desempeñó como presidente voluntario de OWASP desde fines de 2003 hasta septiembre de 2011. A partir de 2015 ^[actualizar], Matt Konda presidió la Junta. ^[11]

La Fundación OWASP, una organización sin fines de lucro 501(c)(3) de los EE. UU. fundada en 2004, apoya la infraestructura y los proyectos de OWASP. Desde 2011, OWASP también está registrada como organización sin fines de lucro en Bélgica con el nombre de OWASP Europe VZW. ^[12]

^{En febrero de 2023, Bil Corry, un funcionario de la Junta Directiva Global de la Fundación OWASP, [13]} informó en Twitter ^[7] que la junta había votado a favor de cambiar el nombre del Proyecto de Seguridad de Aplicaciones Web Abiertas a su nombre actual, reemplazando Web por Worldwide.

Publicaciones y recursos

• OWASP Top Ten: El "Top Ten", publicado por primera vez en 2003, se actualiza periódicamente. ^[14] Su objetivo es crear conciencia sobre la seguridad de las aplicaciones identificando algunos de los riesgos más críticos a los que se enfrentan las organizaciones. ^{[15] [16] [17]} Muchos estándares, libros, herramientas y muchas organizaciones hacen referencia al proyecto Top 10, incluidos MITRE, PCI DSS , ^[18] la Agencia de Sistemas de Información de Defensa ( DISA-STIG ) y la Comisión Federal de Comercio de los Estados Unidos (FTC), ^{[19] [20]}
• Modelo de madurez de garantía de software de OWASP: la misión del proyecto Modelo de madurez de garantía de software (SAMM) es proporcionar una forma eficaz y medible para que todo tipo de organizaciones analicen y mejoren su postura de seguridad de software. Un objetivo central es generar conciencia y educar a las organizaciones sobre cómo diseñar, desarrollar e implementar software seguro a través de un modelo de autoevaluación flexible. SAMM respalda el ciclo de vida completo del software y es independiente de la tecnología y el proceso. El modelo SAMM está diseñado para ser evolutivo y estar impulsado por el riesgo por naturaleza, reconociendo que no existe una receta única que funcione para todas las organizaciones. ^[21]
• Guía de desarrollo de OWASP: La Guía de desarrollo proporciona una guía práctica e incluye ejemplos de código J2EE, ASP.NET y PHP. La Guía de desarrollo cubre una amplia gama de problemas de seguridad a nivel de aplicación, desde la inyección SQL hasta problemas modernos como phishing, manejo de tarjetas de crédito, fijación de sesiones, falsificaciones de solicitudes entre sitios, cumplimiento normativo y problemas de privacidad.
• Guía de pruebas de OWASP: La Guía de pruebas de OWASP incluye un marco de pruebas de penetración de "mejores prácticas" que los usuarios pueden implementar en sus propias organizaciones y una guía de pruebas de penetración de "bajo nivel" que describe técnicas para probar los problemas de seguridad más comunes en aplicaciones y servicios web. La versión 4 se publicó en septiembre de 2014, con aportes de 60 personas. ^[22]
• Guía de revisión de código de OWASP: La guía de revisión de código se encuentra actualmente en la versión de lanzamiento 2.0, publicada en julio de 2017.
• Estándar de verificación de seguridad de aplicaciones (ASVS) de OWASP: un estándar para realizar verificaciones de seguridad a nivel de aplicación. ^[23]
• Proyecto de criterios de evaluación de OWASP XML Security Gateway (XSG). ^[24]
• Guía de respuesta a incidentes de OWASP Top 10. Este proyecto ofrece un enfoque proactivo para la planificación de la respuesta a incidentes. El público al que va dirigido este documento incluye a propietarios de empresas, ingenieros de seguridad, desarrolladores, auditores, gerentes de programas, autoridades y asesores legales. ^[25]
• Proyecto ZAP de OWASP: Zed Attack Proxy (ZAP) es una herramienta de prueba de penetración integrada y fácil de usar para encontrar vulnerabilidades en aplicaciones web. Está diseñada para que la utilicen personas con una amplia experiencia en seguridad, incluidos desarrolladores y evaluadores funcionales que son nuevos en las pruebas de penetración.
• Webgoat: una aplicación web deliberadamente insegura creada por OWASP como guía para prácticas de programación segura. ^[2] Una vez descargada, la aplicación viene con un tutorial y un conjunto de diferentes lecciones que instruyen a los estudiantes sobre cómo explotar vulnerabilidades con la intención de enseñarles a escribir código de forma segura.
• OWASP AppSec Pipeline: el proyecto Application Security (AppSec) Rugged DevOps Pipeline es un lugar donde encontrar la información necesaria para aumentar la velocidad y la automatización de un programa de seguridad de aplicaciones. AppSec Pipelines toma los principios de DevOps y Lean y los aplica a un programa de seguridad de aplicaciones. ^[26]
• Amenazas automatizadas de OWASP para aplicaciones web: publicado en julio de 2015 ^[27] - El proyecto Amenazas automatizadas de OWASP para aplicaciones web tiene como objetivo proporcionar información definitiva y otros recursos para arquitectos, desarrolladores, evaluadores y otros para ayudar a defenderse contra amenazas automatizadas como el robo de credenciales . El proyecto describe las 20 principales amenazas automatizadas según la definición de OWASP. ^[28]
• Proyecto de seguridad de API de OWASP: se centra en estrategias y soluciones para comprender y mitigar las vulnerabilidades y los riesgos de seguridad únicos de las interfaces de programación de aplicaciones (API). Incluye la lista más reciente API Security Top 10 2023. ^[29]

Premios

La organización OWASP recibió el premio Editor's Choice de la revista SC Magazine de Haymarket Media Group en 2014. ^{[9] [30]}

Véase también

• Fundación de Seguridad de Código Abierto

Referencias

1. "OWASP FOUNDATION INC". Nonprofit Explorer . ProPublica . 9 de mayo de 2013 . Consultado el 8 de enero de 2020 .
2. Huseby, Sverre (2004). Código inocente: una llamada de atención sobre seguridad para programadores web . Wiley. pág. 203. ISBN 0470857447.
3. "Personal de la Fundación OWASP". OWASP. 12 de febrero de 2023. Consultado el 3 de mayo de 2022 .
4. "Junta directiva global de la Fundación OWASP". OWASP. 14 de febrero de 2023. Consultado el 20 de marzo de 2023 .
5. "Formulario 990 de la Fundación OWASP para el año fiscal que finaliza en diciembre de 2017". 26 de octubre de 2018. Consultado el 8 de enero de 2020 – a través de ProPublica Nonprofit Explorer.
6. "Formulario 990 de la Fundación OWASP para el año fiscal que finaliza en diciembre de 2020". 29 de octubre de 2021. Consultado el 18 de enero de 2023 – a través de ProPublica Nonprofit Explorer.
7. Corry, Bil [@bilcorry] (25 de febrero de 2023). "Un cambio que quizás notes en @owasp: la Junta votó para cambiar la "W" de "Web" a "Worldwide", convirtiéndolo en el "Proyecto Abierto de Seguridad de Aplicaciones Mundial"" ( Tweet ) . Consultado el 7 de julio de 2024 – vía Twitter .
8. "Las 10 principales vulnerabilidades de OWASP". developerWorks . IBM. 20 de abril de 2015 . Consultado el 28 de noviembre de 2015 .
9. "SC Magazine Awards 2014" (PDF) . Media.scmagazine.com. Archivado desde el original (PDF) el 22 de septiembre de 2014 . Consultado el 3 de noviembre de 2014 .
10. "OWASP Internet of Things" . Consultado el 26 de diciembre de 2023 .
11. "Tablero". OWASP . Archivado desde el original el 16 de septiembre de 2017 . Consultado el 27 de febrero de 2015 .
12. "OWASP Europa". OWASP . Archivado desde el original el 17 de abril de 2016 . Consultado el 7 de julio de 2024 .
13. "Global Board". owasp.org . Archivado desde el original el 29 de abril de 2024 . Consultado el 7 de julio de 2024 .
14. "Los diez mejores de OWASP". owasp.org . Archivado desde el original el 6 de julio de 2024 . Consultado el 7 de julio de 2024 .
15. Trevathan, Matt (1 de octubre de 2015). "Siete prácticas recomendadas para la Internet de las cosas". Database and Network Journal . Archivado desde el original el 28 de noviembre de 2015.
16. Crosman, Penny (24 de julio de 2015). "Los sitios web bancarios con fugas de información permiten que el clickjacking y otras amenazas se filtren". American Banker . Archivado desde el original el 28 de noviembre de 2015.
17. Pauli, Darren (4 de diciembre de 2015). "Los expertos en seguridad informática califican los lenguajes de las aplicaciones; encuentran a Java como el 'rey', ponen a PHP en la papelera". The Register . Consultado el 4 de diciembre de 2015 .
18. "Estándar de seguridad de datos de la industria de tarjetas de pago (PCI)" (PDF) . PCI Security Standards Council. Noviembre de 2013. p. 55. Consultado el 3 de diciembre de 2015 .
19. "Open Web Application Security Project Top 10 (OWASP Top 10)". Base de datos de conocimiento. Synopsys . Synopsys, Inc. 2017 . Consultado el 20 de julio de 2017 . Muchas entidades, incluido el PCI Security Standards Council, el Instituto Nacional de Estándares y Tecnología (NIST) y la Comisión Federal de Comercio (FTC), hacen referencia regularmente al OWASP Top 10 como una guía integral para mitigar las vulnerabilidades de las aplicaciones web y cumplir con las iniciativas de cumplimiento.
20. "La autorización sigue siendo el problema número uno: lista de los 10 principales de OWASP 2023". Cerbos . Consultado el 2 de septiembre de 2024 .
21. "¿Qué es OWASP SAMM?". OWASP SAMM . Consultado el 6 de noviembre de 2022 .
22. Pauli, Darren (18 de septiembre de 2014). "Se publicó una guía completa para eliminar aplicaciones web". The Register . Consultado el 28 de noviembre de 2015 .
23. Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees (2015). Fundamentos de la seguridad de la información basados ​​en ISO27001 e ISO27002 (3.ª ed.). Van Haren. pág. 144. ISBN 9789401800129.
24. "Categoría:OWASP XML Security Gateway Evaluation Criteria Project Latest". Owasp.org. Archivado desde el original el 3 de noviembre de 2014. Consultado el 3 de noviembre de 2014 .
25. "Proyecto de respuesta a incidentes de OWASP - OWASP". Archivado desde el original el 6 de abril de 2019 . Consultado el 12 de diciembre de 2015 .
26. "OWASP AppSec Pipeline". Proyecto de seguridad de aplicaciones web abiertas (OWASP) . Archivado desde el original el 18 de enero de 2020. Consultado el 26 de febrero de 2017 .
27. "AMENAZAS AUTOMATIZADAS para aplicaciones web" (PDF) . OWASP. Julio 2015.
28. "Amenazas automatizadas de OWASP para aplicaciones web". owasp.org . Archivado desde el original el 29 de junio de 2024 . Consultado el 7 de julio de 2024 .
29. "Proyecto de seguridad de la API de OWASP - Fundación OWASP". OWASP .
30. "Ganadores | Premios SC Magazine". Awards.scmagazine.com. Archivado desde el original el 20 de agosto de 2014. Consultado el 17 de julio de 2014. Elección del editor [...] Ganador: Fundación OWASP

Enlaces externos

• Sitio web oficial