Origem: Wikipédia, a enciclopédia livre.

OWASP
Fundado2001[1]
FundadorMarcos Curphey[1]
Tipo501(c)(3) organização sem fins lucrativos
FocoSegurança da Web, segurança de aplicativos, avaliação de vulnerabilidades
MétodoPadrões da indústria, conferências, workshops
Grant Ongers, Presidente; Avi Douglen, vice-presidente; Bil Corry, tesoureiro; Matt Tesauro, secretário; Vandana Verma Sehgal, Sócia; Ricardo Griffith, Membro Geral[2]

Pessoas-chave

Andrew van der Stock, Diretor Executivo; Kelly Santalucia, Diretora de Eventos e Apoio Corporativo; Harold Blankenship, Diretor de Tecnologia e Projetos; Dawn Aitken, Gerente de Operações; Lauren Thomas, Coordenadora de Eventos[3]

Receita (2017)

Diminuir US$ 2,3 milhões[4]

Empregados

0 (2020)[5]

Voluntários

aprox. 13.000 (2017)[6]
Sítio Webowasp.org

O Open Worldwide Application Security Project [7] (OWASP) é uma comunidade on-line que produz artigos, metodologias, documentação, ferramentas e tecnologias disponíveis gratuitamente no campo da segurança de aplicativos Web. [8][9] O OWASP fornece recursos livres e abertos. É liderado por uma organização sem fins lucrativos chamada The OWASP Foundation. O OWASP Top 10 - 2021 é o resultado publicado de uma pesquisa recente baseada em dados abrangentes compilados de mais de 40 organizações parceiras.

História[editar | editar código-fonte]

Mark Curphey começou o OWASP em 9 de setembro de 2001. [1] Jeff Williams serviu como presidente voluntário da OWASP do final de 2003 até setembro de 2011. A partir de 2015, Matt Konda presidiu o Conselho. [10]

A Fundação OWASP, uma organização sem fins lucrativos 501(c)(3) nos EUA estabelecida em 2004, apoia a infraestrutura e os projetos do OWASP. Desde 2011, a OWASP também está registrada como uma organização sem fins lucrativos na Bélgica sob o nome de OWASP Europe VZW. [11]

Em fevereiro de 2023, foi relatado por Bil Corry, um diretor do Conselho de Administração Global da Fundação OWASP,[12] no Twitter[7] que o conselho havia votado pela renomeação do Open Web Application Security Project para seu nome atual, substituindo Web por Worldwide.

Publicações e recursos[editar | editar código-fonte]

  • OWASP Top Ten: O “Top Ten”, publicado pela primeira vez em 2003, é atualizado regularmente. [13] O objetivo é aumentar a conscientização sobre a segurança de aplicativos, identificando alguns dos riscos mais críticos enfrentados pelas organizações. [14][15][16] Muitos padrões, livros, ferramentas e muitas organizações fazem referência ao projeto Top 10, incluindo MITRE, PCI DSS,[17] a Defense Information Systems Agency (DISA-STIG) e a United States Federal Trade Commission (FTC),[18]
  • Modelo de Maturidade do Software Assurance OWASP: A missão do projeto Software Assurance Maturity Model (SAMM) é fornecer uma maneira eficaz e mensurável para todos os tipos de organizações analisarem e melhorarem sua postura de segurança de software. Um objetivo central é aumentar a conscientização e educar as organizações sobre como projetar, desenvolver e implantar software seguro por meio de um modelo flexível de autoavaliação. O SAMM suporta o ciclo de vida completo do software e é independente da tecnologia e do processo. O modelo SAMM é projetado para ser evolutivo e orientado a riscos por natureza, reconhecendo que não há uma receita única que funcione para todas as organizações. [19]
  • Guia de Desenvolvimento do OWASP: O Guia de Desenvolvimento fornece orientação prática e inclui exemplos de código J2EE, ASP.NET e PHP. O Guia de Desenvolvimento aborda uma ampla gama de problemas de segurança em nível de aplicativo, desde a injeção de SQL até preocupações modernas, como phishing, manipulação de cartão de crédito, fixação de sessão, falsificações de solicitações entre sites, conformidade e problemas de privacidade.
  • Guia de Teste do OWASP: O Guia de Teste do OWASP inclui uma estrutura de teste de penetração de “práticas recomendadas” que os usuários podem implementar em suas próprias organizações e um guia de teste de penetração de “baixo nível” que descreve as técnicas para testar os problemas mais comuns de segurança de aplicativos e serviços da Web. A versão 4 foi publicada em setembro de 2014, com a contribuição de 60 indivíduos. [20]
  • OWASP Code Review Guide: O guia de revisão de código está atualmente na versão 2.0, lançada em julho de 2017.
  • OWASP Application Security Verification Standard (ASVS): Um padrão para executar verificações de segurança em nível de aplicativo. [21]
  • Projeto de critérios de avaliação do OWASP XML Security Gateway (XSG). [22]
  • OWASP Top 10 Orientação de Resposta a Incidentes. Este projeto fornece uma abordagem proativa para o planejamento de resposta a incidentes. O público-alvo deste documento inclui proprietários de empresas para engenheiros de segurança, desenvolvedores, auditoria, gerentes de programas, aplicação da lei e conselho jurídico. [23]
  • Projeto OWASP ZAP: O Zed Attack Proxy (ZAP) é uma ferramenta de teste de penetração integrada fácil de usar para encontrar vulnerabilidades em aplicações web. Ele foi projetado para ser usado por pessoas com uma ampla gama de experiência em segurança, incluindo desenvolvedores e testadores funcionais que são novos em testes de penetração.
  • Webgoat: uma aplicação web deliberadamente insegura criada pelo OWASP como um guia para práticas de programação seguras. [1] Uma vez baixado, o aplicativo vem com um tutorial e um conjunto de lições diferentes que instruem os alunos a explorar vulnerabilidades com a intenção de ensiná-los a escrever código com segurança.
  • OWASP AppSec Pipeline: O Application Security (AppSec) Rugged DevOps Pipeline Project é um lugar para encontrar informações necessárias para aumentar a velocidade e a automação de um programa de segurança de aplicativos. O AppSec Pipelines usa os princípios de DevOps e Lean e aplica isso a um programa de segurança de aplicativos. [24]
  • OWASP Automated Threats to Web Applications: Publicado em julho de 2015[25] - o OWASP Automated Threats to Web Applications Project visa fornecer informações definitivas e outros recursos para arquitetos, desenvolvedores, testadores e outros para ajudar a se defender contra ameaças automatizadas, como preenchimento de credenciais. O projeto descreve as 20 principais ameaças automatizadas, conforme definido pelo OWASP. [26]
  • OWASP API Security Project: concentra-se em estratégias e soluções para entender e mitigar as vulnerabilidades e riscos de segurança únicos[27] das Interfaces de Programação de Aplicações (APIs). Inclui a lista mais recente API Security Top 10 2019. [28]

Prêmios[editar | editar código-fonte]

A organização OWASP recebeu o prêmio 2014 Haymarket Media Group SC Magazine Editor’s Choice. [9][29]

Veja também[editar | editar código-fonte]

Referências[editar | editar código-fonte]

  1. ^ Jump up to: um b c d Huseby, Sverre (2004). Código Inocente: Um alerta de segurança para programadores Web. Wiley. pág. 203. ISBN 0470857447.
  2. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-owasp-board_2-0 “Jump up”) “Conselho Global da Fundação OWASP”. OWASP. 14 de fevereiro de 2023. Consultado em 20 de março de 2023.
  3. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-owasp-staff_3-0 “Jump up”) “Equipe da Fundação OWASP”. OWASP. 21 de janeiro de 2022. Consultado em 3 de maio de 2022.
  4. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-nonprofit-explorer_4-0 “Jump up”) “FUNDAÇÃO OWASP INC”. Explorador sem fins lucrativos. ProPublica. 9 de maio de 2013. Consultado em 8 de janeiro de 2020.
  5. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-nonprofit-explorer-full-2020_5-0 “Jump up”) “Formulário 990 da Fundação OWASP para o ano fiscal que termina em dezembro de 2020”. 29 de outubro de 2021. Consultado em 18 de janeiro de 2023 – via ProPublica Nonprofit Explorer.
  6. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-nonprofit-explorer-full-2017_6-0 “Jump up”) “Formulário 990 da Fundação OWASP para o ano fiscal que termina em dezembro de 2017”. 26 de outubro de 2018. Consultado em 8 de janeiro de 2020 – via ProPublica Nonprofit Explorer.
  7. ^ Jump up to: um b “Web” para “Mundialmente” Bil Corry no Twitter
  8. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-8 “Jump up”) “OWASP top 10 vulnerabilidades”. developerWorks. IBM. 20 de abril de 2015. Consultado em 28 de novembro de 2015
  9. ^ Jump up to: um b “Prêmio SC Magazine 2014” (PDF). Media.scmagazine.com. Arquivado do original (PDF) em 22 de setembro de 2014. Consultado em 3 de novembro de 2014
  10. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-10 “Jump up”) Placa arquivada em 16 de setembro de 2017 no Wayback Machine. OWASP. Acesso em 2015/02/27.
  11. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-11 “Jump up”) OWASP Europa, OWASP, 2016.
  12. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-12 “Jump up”) Conselho Global
  13. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-13 “Jump up”) Projeto OWASP Top Ten em owasp.org
  14. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-14 “Jump up”) ↑ Trevathan, Matt (1 de outubro de 2015). “Sete Melhores Práticas para Internet das Coisas”. Banco de Dados e Diário de Rede. Arquivado do original em 28 de novembro de 2015.
  15. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-15 “Jump up”) ↑ Crosman, Penny (24 de julho de 2015). “Sites de bancos vazados permitem que clickjacking, outras ameaças se infiltrem”. Banqueiro americano. Arquivado do original em 28 de novembro de 2015.
  16. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-16 “Jump up”) ↑ Pauli, Darren (4 de dezembro de 2015). “Infosec bods taxa de idiomas de aplicativos; encontrar Java ‘rei’, colocar PHP no bin”. O Registro. Consultado em 4 de dezembro de 2015
  17. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-17 “Jump up”) “Padrão de segurança de dados da indústria de cartões de pagamento (PCI)” (PDF). Conselho de Padrões de Segurança PCI. Novembro de 2013. pág. 55. Consultado em 3 de dezembro de 2015
  18. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-18 “Jump up”) “Open Web Application Security Project Top 10 (OWASP Top 10)”. Banco de Dados de Conhecimento. Sinopse. Sinopse, Inc., 2017. Consultado em 20 de julho de 2017 Muitas entidades, incluindo o PCI Security Standards Council, o National Institute of Standards and Technology (NIST) e a Federal Trade Commission (FTC), referem-se regularmente ao OWASP Top 10 como um guia integral para mitigar vulnerabilidades de aplicativos Web e atender a iniciativas de conformidade.
  19. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-19 “Jump up”) “O que é OWASP SAMM?”. OWASP SAMM. Consultado em 6 de novembro de 2022.
  20. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-20 “Jump up”) ↑ Pauli, Darren (18 de setembro de 2014). “Guia abrangente para obliterar aplicativos da Web publicados”. O Registro. Consultado em 28 de novembro de 2015
  21. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-21 “Jump up”) Ribeiro, Fernando; Smulters, André; Hintzbergen, Juls; Hintzbergen, Kees (2015). Fundamentos da Segurança da Informação Baseados em ISO27001 e ISO27002 (3 ed.). Van Haren. pág. 144. ISBN 9789401800129.
  22. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-22 “Jump up”) “Categoria:OWASP XML Security Gateway Critérios de Avaliação Projeto Mais Recente”. Owasp.org. Arquivado do original em 3 de novembro de 2014. Consultado em 3 de novembro de 2014
  23. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-23 “Jump up”) “Projeto de Resposta a Incidentes OWASP - OWASP”. Arquivado do original em 6 de abril de 2019. Consultado em 12 de dezembro de 2015
  24. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-24 “Jump up”) “Pipeline do OWASP AppSec”. Abra o Web Application Security Project (OWASP). Arquivado do original em 18 de janeiro de 2020. Consultado em 26 de fevereiro de 2017
  25. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-25 “Jump up”) “AMEAÇAS AUTOMATIZADAS a aplicativos Web” (PDF). OWASP. Julho de 2015.
  26. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-26 “Jump up”) A lista de eventos de ameaças automatizados
  27. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-27 “Jump up”) ↑ Mehta, Janki (8 de maio de 2023). “Mitigando as 10 principais vulnerabilidades do OWASP em 2023”. EncryptedFence by Certera - Um Blog de Segurança Web Completo. Consultado em 7 de junho de 2023.
  28. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-28 “Jump up”) “Projeto de Segurança de API OWASP - Top 10 de Segurança de API 2019”. OWASP.
  29. [^](https://en.wikipedia.org/wiki/OWASP#cite_ref-29 “Jump up”) [“Vencedores Prêmio SC Magazine”](https://web.archive.org/web/20140820004509/http://awards.scmagazine.com/Winners2014). Awards.scmagazine.com. Arquivado do original em 20 de agosto de 2014. Consultado em 17 de julho de 2014 Escolha do editor […] Vencedor: Fundação OWASP

Ligações externas[editar | editar código-fonte]