Open Worldwide Application Security Project

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Das Open Worldwide Application Security Project (OWASP) ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen, Diensten und Software im Allgemeinen zu verbessern. Durch Schaffung von Transparenz sollen Endanwender und Organisationen fundierte Entscheidungen über wirkliche Sicherheitsrisiken in Software treffen können.

An der OWASP-Community sind Firmen, Bildungseinrichtungen und Einzelpersonen aus aller Welt beteiligt. Innerhalb der Gemeinschaft werden frei verfügbare Informationsmaterialien, Methoden, Werkzeuge und Technologien erarbeitet.

Das OWASP steht nicht in direkter Verbindung mit Technologiefirmen, obgleich es den bedachten Einsatz von Sicherheitstechnologie unterstützt. Direkte Verbindungen werden vermieden, um frei von organisationsseitigen Zwängen zu sein. Dadurch soll es für das OWASP leichter sein, unvoreingenommene, praxisnahe und wirtschaftliche Informationen über Applikationssicherheit bereitzustellen.

Das OWASP gliedert seine Arbeit in einer Vielzahl von Projekten. Einige davon befinden sich in einem experimentellen Status oder werden nicht aktiv weiterentwickelt. Andere Projekte befinden sich auf einem Entwicklungsstand der bereit zur produktiven Verwendung ist. Unter der Bezeichnung „Flagship Projects“ führt das OWASP 15 Projekte[1] mit einem hohen Reifegrad, denen eine besondere strategische Bedeutung für das OWASP und die Anwendungssicherheit im Allgemeinen beigemessen wird.

Die „Flagship Projects“ des OWASP sind:

OWASP Amass
Ein Framework zur Kartierung der Angriffsoberfläche einer Organisation.
OWASP Application Security Verification Standard (ASVS)
Eine Liste standardisierter Sicherheitsanforderungen und Maßnahmen, die bei der Entwicklung sicherer Anwendungen unterstützen soll.
OWASP Cheat Sheet Series
eine Serie von kompakten Übersichtsseiten, die etablierte Best Practices zur sicheren Softwareentwicklung beschreiben.
OWASP CycloneDX
Ein Standard zur Dokumentation der in einem Projekt verwendeten Komponenten.
OWASP Defectdojo
Ein System zur Verwaltung bekannter Schwachstellen in einem Software-Projekt.
OWASP Dependency-Check
Ein Werkzeug zur automatisierten Überprüfung von Software-Abhängigkeiten auf Versionen mit bekannten Schwachstellen.
OWASP Dependency-Track
Ein weiteres Werkzeug zur Analyse der in einem Projekt verwendeten Komponenten.
OWASP Juice Shop
Eine bewusst Schwachstellenbehaftete Anwendung, welche zum Selbststudium, sowie zu Ausbildungs- und Demonstrationszwecken verwendet werden kann.
OWASP Mobile Application Security (MAS)
Ein Standard zur sicheren Entwicklung und Überprüfung mobiler Anwendungen.
OWASP ModSecurity Core Rule Set (CRS)
Eine Liste von Filterregeln für Web Application Firewalls
OWASP Offensive Web Testing Framework (OWTF)
Eine größtenteils in Python entwickelte Sammlung von Werkzeugen zur effizienteren Durchführung von Sicherheits-Überprüfungen.
OWASP Software Assurance Maturity Model (SAMM)
Ein Modell um den sicherheitstechnischen Entwicklungsstand einer Software messbar zu machen.
OWASP Security Shepherd
Eine Plattform zur Vermittlung von Wissen über Anwendungssicherheit
OWASP Top Ten
Eine Liste von zehn Arten von Webanwendungs-Schwachstellen, welche das OWASP als besonders kritisch ansieht.
OWASP Web Security Testing Guide
Eine Leitlinie zur Sicherheits-Überprüfung von Anwendungen.

Das OWASP hat fünf Angestellte und sehr geringe Ausgaben, die durch Konferenzen, Sponsoring und Werbebanner abgedeckt werden. Es werden jährlich tausende US-Dollar an Prämien als Zuschüsse für vielversprechende Applikations-Sicherheits-Forschungsprojekte ausgezahlt.[2]

Die Mitglieder des OWASP organisieren sich in Chaptern, welche unter anderem eigenständig lokale Treffen zum Thema Informationssicherheit veranstalten.

Die OWASP-Organisation erhielt 2014 die Auszeichnung „Editor’s Choice“ des Haymarket Media Group SC Magazine.[3]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. https://owasp.org/projects/#flagship-projects
  2. https://owasp.org/finance/
  3. Haymarket Media Group SC Magazine: SC Magazine Avard 2014. 25. Februar 2014, archiviert vom Original (nicht mehr online verfügbar) am 22. September 2014; abgerufen am 2. August 2023.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/media.scmagazine.com