Open Web Application Security Project

L'Open Worldwide Application Security Project [1] (chiamato semplicemente OWASP) è un progetto open-source che ha l'obiettivo di realizzare linee guida, strumenti e metodologie per migliorare la sicurezza delle applicazioni. Fu avviato il 9 settembre 2001^[1] da Mark Curphey, Dennis Groves e Jeremiah Grossman.

Nel 2004 fu istituita una fondazione no-profit che supporta l'OWASP, che persegue l'obiettivo di aumentare la sicurezza delle applicazioni consentendo di prendere le decisioni in base ai rischi. In Europa è un'organizzazione no-profit registrata a partire da giugno 2011; è presente anche in Italia con il Chapter OWASP-Italy^[2] fondato da Matteo Meucci a Gennaio del 2005.

Pubblicazioni e risorse

I progetti OWASP sono suddivisi nelle seguenti categorie:

Flagship Projects: questi progetti hanno dimostrato un valore strategico per OWASP e la sicurezza delle applicazioni nel loro insieme.

Lab Projects: i progetti di laboratori OWASP rappresentano progetti che hanno prodotto un prodotto di valore rivisto OWASP.

Incubator Projects: i progetti di incubatori OWASP sono in una fase sperimentale in cui i progetti sono ancora in fase di sviluppo, le idee sono ancora state dimostrate e lo sviluppo è ancora in corso.

Il progetto OWASP conta più di 140 open source. Sono generalmente suddivisi in 3 categorie:

- Protezione delle applicazioni: si tratta di strumenti e documenti che possono essere utilizzati per sviluppare software sempre più sicuro.

- Verifica della sicurezza: si tratta di strumenti e documenti che possono essere utilizzati per trovare le vulnerabilità nel codice o nel servizio.

- Ciclo di vita di sicurezza del software: Questi sono strumenti e documenti che possono essere utilizzati per aggiungere attività legate alla sicurezza nel ciclo di sviluppo del software (SDLC).

I progetti OWASP più rilevanti sono al momento i seguenti:

- OWASP Top Ten: la "Top Ten", pubblicata per la prima volta nel 2003, è riconosciuta a livello globale dagli sviluppatori come il primo passo verso una realizzazione del software più sicuro.^[3] Mira a sensibilizzare sulla sicurezza delle applicazioni identificando alcuni dei rischi più critici per le organizzazioni. [9] [10] [11] Numerosi standard, libri, strumenti e organizzazioni fanno riferimento al progetto Top 10, tra cui MITRE, PCI DSS, [12] la Defense Information Systems Agency (DISA-STIG), la Federal Trade Commission (FTC) degli Stati Uniti, [13] e molti [quantificare] di più.

- OWASP Software Assurance Maturity Model ^[4]: il progetto Software Assurance Maturity Model (SAMM) si impegna a costruire un framework utilizzabile per aiutare le organizzazioni a formulare e implementare una strategia per la sicurezza delle applicazioni che sia su misura per i rischi aziendali specifici dell'organizzazione.

- OWASP Building Guide ^[5]: rappresenta la guida linea per lo sviluppo sicuro e fornisce una guida pratica includendo esempi di codice J2EE, ASP.NET e PHP. La OWASP Building Guide copre una vasta gamma di problemi di sicurezza a livello di applicazione, dall'iniezione di SQL a problemi moderni come phishing, gestione delle carte di credito, conformità e problemi di privacy.

- OWASP Proactive Controls: la OWASP Top Ten Proactive Controls 2018 è un elenco di tecniche di sicurezza che dovrebbero essere incluse in ogni progetto di sviluppo software. Sono ordinati per ordine di importanza, con il controllo numero 1 il più importante. Questo documento è stato scritto dagli sviluppatori per gli sviluppatori per aiutare i nuovi a garantire lo sviluppo.

- OWASP Testing Guide ^[6]: la Guida alla verifica di sicurezza di OWASP include un framework di test che gli utenti possono implementare nelle proprie organizzazioni e una guida di penetration test più tecnica che descrive la metodologia per testare i più comuni problemi di sicurezza delle applicazioni Web e dei servizi Web. La versione 4 è stata pubblicata nel settembre 2014, con il contributo di 60 persone. La versione 4.1 è stata pubblicata ad Aprile 2020.

- OWASP Mobile Security Testing Guide^[7]: la guida vuole definire lo standard del settore per la sicurezza delle applicazioni mobili. La guida mostra la metodologia per eseguire i test coprendo i processi, le tecniche e gli strumenti utilizzati durante un test di sicurezza delle applicazioni mobili, nonché un set esaustivo di casi di test che consente ai tester di fornire risultati coerenti e completi.

- OWASP Code Review Guide ^[8]: la guida alla revisione del codice è attualmente alla versione 2.0, rilasciata a luglio 2017.

- OVASP Application Security Verification Standard (ASVS) ^[3]: uno standard per l'esecuzione di verifiche di sicurezza a livello di applicazione.

- OWASP ZAP^[5] : Zed Attack Proxy (ZAP) è uno strumento di test di penetrazione integrato facile da usare per la ricerca di vulnerabilità nelle applicazioni Web. È progettato per essere utilizzato da persone con una vasta gamma di esperienze di sicurezza, inclusi sviluppatori e tester funzionali che sono nuovi ai test di penetrazione.

- OWASP Webgoat ^[9]: un'applicazione web volutamente insicura creata da OWASP come guida per pratiche di programmazione sicure. Una volta scaricata, l'applicazione viene fornita con un tutorial e una serie di diverse lezioni che istruiscono gli studenti su come sfruttare le vulnerabilità con l'intenzione di insegnare loro come scrivere codice in modo sicuro.

- Pipeline AppSec OWASP ^[4]: il progetto Pipeline DevOps di Application Security (AppSec) è un luogo dove trovare le informazioni necessarie per aumentare la velocità e l'automazione di un programma di sicurezza delle applicazioni. Le pipeline di AppSec adottano i principi di DevOps e Lean e lo applicano a un programma di sicurezza delle applicazioni.

Note

1. ^ About The Open Web Application Security Project - OWASP, su wiki.owasp.org. URL consultato il 26 aprile 2020.
2. ^ Italy - OWASP, su wiki.owasp.org. URL consultato il 26 aprile 2020.
3. (EN) OWASP Top Ten, su owasp.org. URL consultato il 26 aprile 2020.
4. (EN) OWASP SAMM, su owaspsamm.org. URL consultato il 26 aprile 2020.
5. OWASP Guide Project - OWASP, su wiki.owasp.org. URL consultato il 26 aprile 2020.
6. ^ (EN) OWASP Web Security Testing Guide, su owasp.org. URL consultato il 26 aprile 2020.
7. ^ (EN) OWASP Mobile Security Testing Guide, su owasp.org. URL consultato il 26 aprile 2020.
8. ^ Category:OWASP Code Review Project - OWASP, su wiki.owasp.org. URL consultato il 26 aprile 2020.
9. ^ (EN) OWASP WebGoat, su owasp.org. URL consultato il 26 aprile 2020.

Altri progetti

Altri progetti

• Wikimedia Commons

•   Wikimedia Commons contiene immagini o altri file su Open Web Application Security Project

Collegamenti esterni

• (EN) Sito ufficiale, su owasp.org.  
• Sito ufficiale, su owasp.org.cn.  
• (EN) Open Web Application Security Project, su GitHub.  

Controllo di autorità	VIAF (EN) 314901743 · LCCN (EN) nb2015004764 · GND (DE) 1129461661 · WorldCat Identities (EN) lccn-nb2015004764

  Portale Internet

  Portale Sicurezza informatica