OWASP

OWASP
OWASP
설립.2001년[1]
설립자마크 커피[1]
유형501(c)(3) 비영리 단체
초점웹 보안, 응용 프로그램 보안, 취약성 평가
방법업계 표준, 컨퍼런스, 워크숍
회장 Vandana Verma, 부회장 Grant Ongers, 재무장관 Glenn Ten Kate, 재무장관 Avi Douglen, 비서 Martin Knobloch, Bil Corry, Joubin[2] Jabbari
주요 인물
Andrew van der Stock, 이그제큐티브 디렉터, 이벤트 및 기업 지원 디렉터, Kelly Santalucia, 프로젝트 및 테크놀로지 디렉터, Dawn Blankenship, 운영 매니저, Lisa Jones, 챕터 및 멤버십 매니저, 이벤트 코디네이터[3], Lauren Thomas
수익.(2017)
Decrease230만달러[4]
직원들.
700 (2017년)[5]
자원 봉사자들.
약 13,000 (2017년)[5]
웹 사이트owasp.org

Open Web Application Security Project(OWASP)는 웹 애플리케이션 보안 [6][7]분야에서 자유롭게 이용할 수 있는 문서, 방법론, 문서, 도구 및 기술을 작성하는 온라인 커뮤니티입니다.Open Web Application Security Project(OWASP)는 무료 오픈 리소스를 제공합니다.그것은 OWASP 재단이라고 불리는 비영리단체가 이끌고 있다.OWASP Top 10 - 2021은 40개 이상의 파트너 조직에서 수집한 종합 데이터를 바탕으로 최근 발표된 연구 결과입니다.

역사

Mark Curphey는 2001년 [1]9월 9일에 OWASP-Open Web Application Security Project를 시작했습니다.Jeff Williams는 2003년 말부터 2011년 9월까지 OWASP의 자원봉사 의장을 역임했습니다.2015년 현재 [8]Matt Konda가 이사회의 의장을 맡고 있습니다.

OWASP 재단은 2004년에 설립된 미국의 501(c)(3) 비영리 단체로 OWASP 인프라와 프로젝트를 지원하고 있습니다.OWASP는 2011년부터 OWASP Europe [9]VZW라는 이름으로 벨기에에서 비영리 단체로 등록되었습니다.

출판물 및 자원

  • OWASP Top 10:2003년에 처음 출판된 "Top Ten"은 정기적으로 [10]갱신됩니다.조직이 [11][12][13]직면하고 있는 가장 중요한 리스크의 일부를 특정함으로써 애플리케이션 보안에 대한 인식을 높이는 것을 목적으로 하고 있습니다.MITRE, PCI DSS,[14] 국방정보시스템국(DISA-STIG), 미국연방무역위원회(FTC)[15] 등 많은 표준, 서적, 도구 및 조직이 상위 10개 프로젝트를 참조하고 있습니다.
  • OWASP 소프트웨어 보증 성숙도 모델:소프트웨어 보증 성숙도 모델(SAM) 프로젝트는 조직이 직면한 특정 비즈니스 리스크에 맞춘 애플리케이션 보안 전략을 수립하고 구현할 수 있도록 지원하는 사용 가능한 프레임워크를 구축하기 위해 노력하고 있습니다.
  • OWASP 개발 가이드:개발 가이드에는 J2EE, ASP에 대한 실제 지침이 포함되어 있습니다.NET 및 PHP 코드 샘플.개발 가이드에서는 SQL 주입부터 피싱, 신용카드 처리, 세션 고정, 사이트 간 요청 위조, 컴플라이언스, 프라이버시 문제 등 최신 문제에 이르기까지 광범위한 애플리케이션 수준의 보안 문제를 다룹니다.
  • OWASP 테스트 가이드:OWASP 테스트 가이드에는 사용자가 자신의 조직에서 구현할 수 있는 "베스트 프랙티스" 침투 테스트 프레임워크와 가장 일반적인 웹 애플리케이션 및 웹 서비스 보안 문제를 테스트하기 위한 기술을 설명하는 "로우 레벨" 침투 테스트 가이드가 포함되어 있습니다.버전 4는 2014년 9월에 발행되었으며,[16] 60명의 개인으로부터 의견을 받았습니다.
  • OWASP 코드 리뷰 가이드:코드 리뷰 가이드는 현재 2017년 7월에 출시된 버전 2.0입니다.
  • OWASP Application Security Verification Standard(ASVS): 응용 프로그램 수준의 [17]보안 검증을 수행하기 위한 표준입니다.
  • OWASP XML Security Gateway(XSG) 평가 기준 프로젝트.[18]
  • OWASP 상위 10개 사고 대응 지침.이 프로젝트는 인시던트 대응 계획에 대한 프로 액티브한 접근방식을 제공합니다.이 문서의 대상 독자에는 보안 엔지니어, 개발자, 감사, 프로그램 매니저, 법 집행 기관 및 법률 [19]위원회 사업주가 포함됩니다.
  • OWASP ZAP 프로젝트: Zed Attack Proxy(ZAP)는 웹 응용 프로그램의 취약성을 찾기 위한 사용하기 쉬운 통합 침투 테스트 도구입니다.보안 경험이 풍부한 개발자나 기능 테스터 등 침투 테스트 초보자가 사용할 수 있도록 설계되어 있습니다.
  • 웹고트: OWASP가 안전한 프로그래밍 실행 [1]지침으로 만든 의도적으로 안전하지 않은 웹 응용 프로그램입니다.일단 다운로드되면, 이 애플리케이션은 학생들에게 코드를 안전하게 작성하는 방법을 가르치기 위해 취약점을 이용하는 방법을 알려주는 튜토리얼과 여러 가지 레슨 세트를 제공합니다.
  • OWASP AppSec 파이프라인:Application Security(AppSec) Rugged DevOps 파이프라인 프로젝트는 애플리케이션 보안 프로그램의 속도와 자동화를 향상시키는 데 필요한 정보를 찾는 곳입니다.AppSec 파이프라인은 DevOps와 Line의 원리를 채택하여 애플리케이션 보안 [20]프로그램에 적용합니다.
  • OWASP 애플리케이션에 대한 자동 위협: 2015년 7월[21] 발행 - OWASP 웹 애플리케이션에 대한 자동 위협 프로젝트는 설계자, 개발자, 테스터 및 기타에게 자격 증명 입력과 같은 자동화된 위협으로부터 방어하는 데 도움이 되는 결정적인 정보와 기타 리소스를 제공하는 것을 목표로 합니다.이 프로젝트에서는 OWASP에 [22]의해 정의된 상위 20개의 자동화된 위협에 대해 설명합니다.
  • OWASP API 보안 프로젝트: Application Programming Interface(API; 애플리케이션 프로그래밍 인터페이스)의 고유한 취약성과 보안 위험을 이해하고 완화하기 위한 전략과 솔루션에 초점을 맞춥니다.최신 API Security Top 10 2019 [23]목록을 포함합니다.

어워드

OWASP 조직은 2014년 Haymarket Media Group SC Magazine Editor's Choice [7][24]상을 받았습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b c d Huseby, Sverre (2004). Innocent Code: A Security Wake-Up Call for Web Programmers. Wiley. p. 203. ISBN 0470857447.
  2. ^ "OWASP Foundation Global Board". OWASP. May 3, 2022. Retrieved May 3, 2022.
  3. ^ "OWASP Foundation Staff". OWASP. January 21, 2022. Retrieved May 3, 2022.
  4. ^ "OWASP FOUNDATION INC". Nonprofit Explorer. ProPublica. May 9, 2013. Retrieved January 8, 2020.
  5. ^ a b "OWASP Foundation's Form 990 for fiscal year ending Dec. 2017". October 26, 2018. Retrieved January 8, 2020 – via ProPublica Nonprofit Explorer.
  6. ^ "OWASP top 10 vulnerabilities". developerWorks. IBM. April 20, 2015. Retrieved November 28, 2015.
  7. ^ a b "SC Magazine Awards 2014" (PDF). Media.scmagazine.com. Archived from the original (PDF) on September 22, 2014. Retrieved November 3, 2014.
  8. ^ 2017년 9월 16일 Wayback Machine에 보관된 보드.OWASP, 2015-02-27에 회수.
  9. ^ OWASP 유럽, OWASP, 2016
  10. ^ owasp.org의 OWASP Top Ten 프로젝트
  11. ^ Trevathan, Matt (October 1, 2015). "Seven Best Practices for Internet of Things". Database and Network Journal. Archived from the original on November 28, 2015.
  12. ^ Crosman, Penny (July 24, 2015). "Leaky Bank Websites Let Clickjacking, Other Threats Seep In". American Banker. Archived from the original on November 28, 2015.
  13. ^ Pauli, Darren (December 4, 2015). "Infosec bods rate app languages; find Java 'king', put PHP in bin". The Register. Retrieved December 4, 2015.
  14. ^ "Payment Card Industry (PCI) Data Security Standard" (PDF). PCI Security Standards Council. November 2013. p. 55. Retrieved December 3, 2015.
  15. ^ "Open Web Application Security Project Top 10 (OWASP Top 10)". Knowledge Database. Synopsys. Synopsys, Inc. 2017. Retrieved July 20, 2017. Many entities including the PCI Security Standards Council, National Institute of Standards and Technology (NIST), and the Federal Trade Commission (FTC) regularly reference the OWASP Top 10 as an integral guide for mitigating Web application vulnerabilities and meeting compliance initiatives.
  16. ^ Pauli, Darren (September 18, 2014). "Comprehensive guide to obliterating web apps published". The Register. Retrieved November 28, 2015.
  17. ^ Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees (2015). Foundations of Information Security Based on ISO27001 and ISO27002 (3 ed.). Van Haren. p. 144. ISBN 9789401800129.
  18. ^ "Category:OWASP XML Security Gateway Evaluation Criteria Project Latest". Owasp.org. Archived from the original on November 3, 2014. Retrieved November 3, 2014.
  19. ^ "Archived copy". Archived from the original on April 6, 2019. Retrieved December 12, 2015.{{cite web}}: CS1 maint: 제목으로 아카이브된 복사(링크)
  20. ^ "OWASP AppSec Pipeline". Open Web Application Security Project (OWASP). Retrieved February 26, 2017.
  21. ^ "AUTOMATED THREATS to Web applications" (PDF). OWASP. July 2015.
  22. ^ 자동화된 위협 이벤트 목록
  23. ^ "OWASP API Security Project - API Security Top 10 2019". OWASP.{{cite web}}: CS1 maint :url-status (링크)
  24. ^ "Winners SC Magazine Awards". Awards.scmagazine.com. Archived from the original on August 20, 2014. Retrieved July 17, 2014. Editor's Choice [...] Winner: OWASP Foundation

외부 링크