Normas Owasp

OWASP

Empecemos por nombrar el problema de software inseguro que quizás es un reto técnico muy importante en nuestra época. Con la tecnología de Información un factor clave es la seguridad. El OWASP está intentando hacer del mundo un lugar en el que el software es la anomalía, no la norma, y la guía de pruebas se convierte en una pieza importante del rompecabezas.

OWASP comenzó en el año 2001. La Fundación OWASP, una organización sin ánimo de lucro, se creó en 2004 para apoyar los proyectos e infraestructura de OWASP.

OWASP depende para su mantenimiento de las donaciones y las cuotas de los socios, particulares y empresas.

Los líderes OWASP son responsables de tomar decisiones sobre la dirección técnica, las prioridades del proyecto, los plazos y las publicaciones. Colectivamente, los líderes OWASP pueden considerarse gestores de la Fundación OWASP, si bien el proyecto prima la compartición de conocimiento en la comunidad frente al reconocimiento individual.

Los proyectos OWASP se dividen en dos categorías principales: proyectos de desarrollo y proyectos de documentación.

Los proyectos de documentación actuales son:

Guía OWASP – Un enorme documento que propociona una guía detallada sobre la seguridad de las aplicaciones web.

OWASP Top 10 – Documento de alto nivel que se centra sobre las vulnerabilidades más críticas de las aplicaciones web.

Métricas – Un proyecto para definir métricas aplicables de seguridad de aplicaciones web.

Legal – Un proyecto para ayudar a los vendedores y compradores de software a negociar adecuadamente los aspectos de seguridad en sus contratos.

Guía de pruebas – Una guía centrada en la prueba efectiva de la seguridad de aplicaciones web.

ISO 17799 – Documentos de apoyo para organizaciones que realicen revisiones ISO 17799.

AppSec FAQ – Preguntas y respuestas frecuentes sobre seguridad de aplicaciones web.

Los proyectos de desarrollo incluyen:

WebScarab – Un aplicación de chequeo de vulnerabilidades de aplicaciones web incluyendo herramientas proxy.

Filtros de validación (Stinger para J2EE, filters para PHP) – Filtros genéricos de seguridad perimetral que los desarrolladores pueden usar en sus propias aplicaciones.

WebGoat – Una herramienta interactiva de formación y benchmarking para que los usuarios aprendan sobre seguridad de aplicaciones web de forma segura y legal.

DotNet – Un conjunto de herramientas para securizar los entornos .NET.

¿PARA QUIEN?

Desarrolladores de Software. Necesitan usar la guía para asegurarse que el código que se entrega no es vulnerable a ataque.

Testers de Software. Deberían usar esta guía para mejorar sus habilidades para probar. Mientras las pruebas de seguridad han sido artes oscuras por un largo tiempo, IWASP está trabajando duro para hacer este conocimiento gratuito y abierto para todos.

Especialistas de Seguridad. Tiene una responsabilidad especial para asegurar que las aplicaciones no se publiquen con vulnerabilidades. Puede usar esta guía para ayudar a ayudarse a asegurar un nivel de cobertura y rigor.

LAS GUIAS DE OWASP

OWASP ha producido varias guías que funcionan juntas para crear una base de conocimientos en seguridad de aplicaciones:

Referencia de Escritorio en Seguridad de Aplicaciones de OWASP (OWASP Application Security Desk Reference). La ASDR contiene las definiciones básicas y descripciones de todos los principios importantes de seguridad, agentes de amenaza, ataques, vulnerabilidades, contramedidas, impactos técnicos y de negocio en seguridad de aplicaciones. Esta es una referencia básica para todas las otras guías y es referenciada también por estos otros volúmenes.

Guía de Desarrollo de OWASP. La guía de desarrolladores cubre todos los controles de seguridad que los desarrolladores de software deben utilizar. Estas son las protecciones “positivas” que los desarrolladores deben construir en sus aplicaciones.

Aunque hay miles de tipos de vulnerabilidades en software, ellos pueden ser evitados con un conveniente conjunto de controles de seguridad fuertes.

Guía de Pruebas de OWASP. La guía

...