Open Web Application Security Project

Da Wikipedia, l'enciclopedia libera.
(Reindirizzamento da OWASP)
Jump to navigation Jump to search

L'Open Web Application Security Project (chiamato semplicemente OWASP) è un progetto open-source che ha l'obiettivo di realizzare linee guida, strumenti e metodologie per migliorare la sicurezza delle applicazioni. Fu avviato il 9 settembre 2001[1] da Mark Curphey, Dennis Groves e Jeremiah Grossman.

Nel 2004 fu istituita una fondazione no-profit che supporta l'OWASP, che persegue l'obiettivo di aumentare la sicurezza delle applicazioni consentendo di prendere le decisioni in base ai rischi. In Europa è un'organizzazione no-profit registrata a partire da giugno 2011; è presente anche in Italia con il Chapter OWASP-Italy[2] fondato da Matteo Meucci a Gennaio del 2005.

Pubblicazioni e risorse[modifica | modifica wikitesto]

I progetti OWASP sono suddivisi nelle seguenti categorie:

Flagship Projects: questi progetti hanno dimostrato un valore strategico per OWASP e la sicurezza delle applicazioni nel loro insieme.

Lab Projects: i progetti di laboratori OWASP rappresentano progetti che hanno prodotto un prodotto di valore rivisto OWASP.

Incubator Projects: i progetti di incubatori OWASP sono in una fase sperimentale in cui i progetti sono ancora in fase di sviluppo, le idee sono ancora state dimostrate e lo sviluppo è ancora in corso.

Il progetto OWASP conta più di 140 open source. Sono generalmente suddivisi in 3 categorie:

- Protezione delle applicazioni: si tratta di strumenti e documenti che possono essere utilizzati per sviluppare software sempre più sicuro.

- Verifica della sicurezza: si tratta di strumenti e documenti che possono essere utilizzati per trovare le vulnerabilità nel codice o nel servizio.

- Ciclo di vita di sicurezza del software: Questi sono strumenti e documenti che possono essere utilizzati per aggiungere attività legate alla sicurezza nel ciclo di sviluppo del software (SDLC).

I progetti OWASP più rilevanti sono al momento i seguenti:

- OWASP Top Ten: la "Top Ten", pubblicata per la prima volta nel 2003, è riconosciuta a livello globale dagli sviluppatori come il primo passo verso una realizzazione del software più sicuro.[3] Mira a sensibilizzare sulla sicurezza delle applicazioni identificando alcuni dei rischi più critici per le organizzazioni. [9] [10] [11] Numerosi standard, libri, strumenti e organizzazioni fanno riferimento al progetto Top 10, tra cui MITRE, PCI DSS, [12] la Defense Information Systems Agency (DISA-STIG), la Federal Trade Commission (FTC) degli Stati Uniti, [13] e molti [quantificare] di più.

- OWASP Software Assurance Maturity Model [4]: il progetto Software Assurance Maturity Model (SAMM) si impegna a costruire un framework utilizzabile per aiutare le organizzazioni a formulare e implementare una strategia per la sicurezza delle applicazioni che sia su misura per i rischi aziendali specifici dell'organizzazione.

- OWASP Building Guide [5]: rappresenta la guida linea per lo sviluppo sicuro e fornisce una guida pratica includendo esempi di codice J2EE, ASP.NET e PHP. La OWASP Building Guide copre una vasta gamma di problemi di sicurezza a livello di applicazione, dall'iniezione di SQL a problemi moderni come phishing, gestione delle carte di credito, conformità e problemi di privacy.

- OWASP Proactive Controls: la OWASP Top Ten Proactive Controls 2018 è un elenco di tecniche di sicurezza che dovrebbero essere incluse in ogni progetto di sviluppo software. Sono ordinati per ordine di importanza, con il controllo numero 1 il più importante. Questo documento è stato scritto dagli sviluppatori per gli sviluppatori per aiutare i nuovi a garantire lo sviluppo.

- OWASP Testing Guide [6]: la Guida alla verifica di sicurezza di OWASP include un framework di test che gli utenti possono implementare nelle proprie organizzazioni e una guida di penetration test più tecnica che descrive la metodologia per testare i più comuni problemi di sicurezza delle applicazioni Web e dei servizi Web. La versione 4 è stata pubblicata nel settembre 2014, con il contributo di 60 persone. La versione 4.1 è stata pubblicata ad Aprile 2020.

- OWASP Mobile Security Testing Guide[7]: la guida vuole definire lo standard del settore per la sicurezza delle applicazioni mobili. La guida mostra la metodologia per eseguire i test coprendo i processi, le tecniche e gli strumenti utilizzati durante un test di sicurezza delle applicazioni mobili, nonché un set esaustivo di casi di test che consente ai tester di fornire risultati coerenti e completi.

- OWASP Code Review Guide [8]: la guida alla revisione del codice è attualmente alla versione 2.0, rilasciata a luglio 2017.

- OVASP Application Security Verification Standard (ASVS) [3]: uno standard per l'esecuzione di verifiche di sicurezza a livello di applicazione.

- OWASP ZAP[5] : Zed Attack Proxy (ZAP) è uno strumento di test di penetrazione integrato facile da usare per la ricerca di vulnerabilità nelle applicazioni Web. È progettato per essere utilizzato da persone con una vasta gamma di esperienze di sicurezza, inclusi sviluppatori e tester funzionali che sono nuovi ai test di penetrazione.

- OWASP Webgoat [9]: un'applicazione web volutamente insicura creata da OWASP come guida per pratiche di programmazione sicure. Una volta scaricata, l'applicazione viene fornita con un tutorial e una serie di diverse lezioni che istruiscono gli studenti su come sfruttare le vulnerabilità con l'intenzione di insegnare loro come scrivere codice in modo sicuro.

- Pipeline AppSec OWASP [4]: il progetto Pipeline DevOps di Application Security (AppSec) è un luogo dove trovare le informazioni necessarie per aumentare la velocità e l'automazione di un programma di sicurezza delle applicazioni. Le pipeline di AppSec adottano i principi di DevOps e Lean e lo applicano a un programma di sicurezza delle applicazioni.

Referenze[modifica | modifica wikitesto]

  1. ^ About The Open Web Application Security Project - OWASP, su wiki.owasp.org. URL consultato il 26 aprile 2020.
  2. ^ Italy - OWASP, su wiki.owasp.org. URL consultato il 26 aprile 2020.
  3. ^ a b (EN) OWASP Top Ten, su owasp.org. URL consultato il 26 aprile 2020.
  4. ^ a b (EN) OWASP SAMM, su owaspsamm.org. URL consultato il 26 aprile 2020.
  5. ^ a b OWASP Guide Project - OWASP, su wiki.owasp.org. URL consultato il 26 aprile 2020.
  6. ^ (EN) OWASP Web Security Testing Guide, su owasp.org. URL consultato il 26 aprile 2020.
  7. ^ (EN) OWASP Mobile Security Testing Guide, su owasp.org. URL consultato il 26 aprile 2020.
  8. ^ Category:OWASP Code Review Project - OWASP, su wiki.owasp.org. URL consultato il 26 aprile 2020.
  9. ^ (EN) OWASP WebGoat, su owasp.org. URL consultato il 26 aprile 2020.

Altri progetti[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Controllo di autoritàVIAF (EN314901743 · LCCN (ENnb2015004764 · GND (DE1129461661 · WorldCat Identities (ENlccn-nb2015004764