L' Open Worldwide Application Security Project (anciennement Open Web Application Security Project ) ( OWASP ) est une communauté en ligne qui produit des articles, des méthodologies, de la documentation, des outils et des technologies disponibles gratuitement dans les domaines de l'IoT , des logiciels système et de la sécurité des applications Web . L'OWASP fournit des ressources gratuites et ouvertes. Il est dirigé par une organisation à but non lucratif appelée The OWASP Foundation. Le Top 10 2021 de l'OWASP est le résultat publié d'une recherche récente basée sur des données complètes compilées auprès de plus de 40 organisations partenaires.
Histoire
Mark Curphey a fondé l'OWASP le 9 septembre 2001. Jeff Williams a été président bénévole de l'OWASP de fin 2003 à septembre 2011. En 2015 , Matt Konda présidait le conseil d'administration.
La Fondation OWASP, une organisation à but non lucratif 501(c)(3) aux États-Unis créée en 2004, soutient l'infrastructure et les projets de l'OWASP. Depuis 2011, l'OWASP est également enregistrée en tant qu'organisation à but non lucratif en Belgique sous le nom d'OWASP Europe VZW.
a rapporté sur Twitter que le conseil avait voté pour le changement de nom de l'Open Web Application Security Project à son nom actuel, remplaçant Web par Worldwide.
Publications et ressources
- Top Ten de l'OWASP : Le « Top Ten », publié pour la première fois en 2003, est régulièrement mis à jour. Il vise à sensibiliser à la sécurité des applications en identifiant certains des risques les plus critiques auxquels sont confrontées les organisations. De nombreuses normes, livres, outils et de nombreuses organisations font référence au projet Top 10, notamment MITRE, PCI DSS , la Defense Information Systems Agency ( DISA-STIG ) et la Federal Trade Commission (FTC) des États-Unis ,
- Modèle de maturité de l'assurance logicielle de l'OWASP : La mission du projet SAMM (Software Assurance Maturity Model) est de fournir un moyen efficace et mesurable pour tous les types d'organisations d'analyser et d'améliorer leur posture de sécurité logicielle. L'un des principaux objectifs est de sensibiliser et d'éduquer les organisations sur la manière de concevoir, de développer et de déployer des logiciels sécurisés grâce à un modèle d'auto-évaluation flexible. SAMM prend en charge l'intégralité du cycle de vie du logiciel et est indépendant de la technologie et des processus. Le modèle SAMM est conçu pour être évolutif et axé sur les risques par nature, reconnaissant qu'il n'existe pas de recette unique qui fonctionne pour toutes les organisations.
- Guide de développement OWASP : Le guide de développement fournit des conseils pratiques et inclut des exemples de code J2EE, ASP.NET et PHP. Le guide de développement couvre un large éventail de problèmes de sécurité au niveau des applications, de l'injection SQL aux problèmes modernes tels que le phishing, la gestion des cartes de crédit, la fixation de session, les falsifications de requêtes intersites, la conformité et les problèmes de confidentialité.
- Guide de test OWASP : Le guide de test OWASP comprend un cadre de test de pénétration « meilleure pratique » que les utilisateurs peuvent mettre en œuvre dans leurs propres organisations et un guide de test de pénétration « de bas niveau » qui décrit les techniques de test des problèmes de sécurité les plus courants des applications Web et des services Web. La version 4 a été publiée en septembre 2014, avec la contribution de 60 personnes.
- Guide de révision du code OWASP : le guide de révision du code est actuellement à la version 2.0, publiée en juillet 2017.
- OWASP Application Security Verification Standard (ASVS) : une norme permettant d'effectuer des vérifications de sécurité au niveau des applications.
- Projet de critères d'évaluation de la passerelle de sécurité XML OWASP (XSG).
- Guide de réponse aux incidents OWASP Top 10. Ce projet propose une approche proactive de la planification de la réponse aux incidents. Le public visé par ce document comprend les propriétaires d'entreprise, les ingénieurs de sécurité, les développeurs, les auditeurs, les gestionnaires de programmes, les forces de l'ordre et les conseillers juridiques.
- Projet OWASP ZAP : Le proxy Zed Attack (ZAP) est un outil de test de pénétration intégré facile à utiliser pour détecter les vulnérabilités des applications Web. Il est conçu pour être utilisé par des personnes ayant une vaste expérience en matière de sécurité, notamment des développeurs et des testeurs fonctionnels qui débutent dans les tests de pénétration.
- Webgoat : une application Web volontairement non sécurisée créée par l'OWASP comme guide pour les pratiques de programmation sécurisées. Une fois téléchargée, l'application est accompagnée d'un didacticiel et d'un ensemble de leçons différentes qui expliquent aux étudiants comment exploiter les vulnérabilités dans le but de leur apprendre à écrire du code en toute sécurité.
- OWASP AppSec Pipeline : Le projet Application Security (AppSec) Rugged DevOps Pipeline est un endroit où trouver les informations nécessaires pour augmenter la vitesse et l'automatisation d'un programme de sécurité des applications. AppSec Pipelines reprend les principes de DevOps et de Lean et les applique à un programme de sécurité des applications.
- Menaces automatisées OWASP sur les applications Web : publié en juillet 2015 – Le projet OWASP Automated Threats to Web Applications vise à fournir des informations définitives et d'autres ressources aux architectes, développeurs, testeurs et autres pour les aider à se défendre contre les menaces automatisées telles que le bourrage d'identifiants . Le projet décrit les 20 principales menaces automatisées telles que définies par l'OWASP.
- Projet de sécurité des API de l'OWASP : se concentre sur les stratégies et les solutions permettant de comprendre et d'atténuer les vulnérabilités et les risques de sécurité uniques des interfaces de programmation d'applications (API). Comprend la liste la plus récente des 10 meilleurs API Security 2023.
Certifications
Ils disposent de plusieurs systèmes de certification pour certifier les connaissances des étudiants dans des domaines particuliers de la sécurité.
Principes fondamentaux de la sécurité
Ensemble de normes de sécurité de base applicables à toutes les piles technologiques enseignant aux apprenants les dix principales vulnérabilités de l'OWASP.
- A01:2021 Contrôles d'accès brisés
- A02:2021 Défaillances cryptographiques
- A03:2021 Injection
- A04:2021 Conception non sécurisée
- A05 : 2021 Mauvaise configuration de la sécurité – configuration incorrecte des paramètres de sécurité, des autorisations et des contrôles pouvant entraîner des vulnérabilités
- A06:2021 Composants vulnérables et obsolètes
- A07:2021 Échecs d'identification et d'authentification
- A08:2021 Défaillances des logiciels et de l'intégrité des données
- A09 : 2021 Échecs de la journalisation et de la surveillance de la sécurité
- A10 : 2021 Falsification de requête côté serveur (SSRF) – causée par une application Web récupérant une ressource distante sans valider l'URL fournie par l'utilisateur
Récompenses
L'organisation OWASP a reçu le prix Editor's Choice 2014 du Haymarket Media Group SC Magazine .