Açık Web Uygulama Güvenliği Projesi (OWASP), web uygulama güvenliği alanında ücretsiz olarak kullanılabilen makaleler, metodolojiler, belgeler, araçlar ve teknolojiler üreten çevrimiçi bir topluluktur.[4][5]

Owasp
Kuruluş2001[1]
KurucuMark Curphey[1]
OdakWeb Güvenliği, Uygulama Güvenliği, Güvenlik Açığı Değerlendirmesi
YöntemEndüstri standartları, Konferanslar, Workshoplar
Önemli kişilerMike McCamon, Interim Executive Director; Kelly Santalucia, Director of Corporate Support; Harold Blankenship, Director Projects and Technology; Dawn Aitken, Community Manager; Lisa Jones, Manager of Projects and Sponsorship; Matt Tesauro, Director of Community and Operations
Bütçe2.3 milyon $
Personel700 (2017)
GönüllüYaklaşık 13,000 (2017)[3]
Resmî siteowasp.org

Mark Curphey, 9 Eylül 2001'de OWASP'yi başlattı. Jeff Williams, 2003'ün sonlarından Eylül 2011'e kadar OWASP'nin gönüllü Başkanı olarak görev yapmıştır. 2015 itibarıyla Matt Konda, Yönetim Kuruluna başkanlık etmektedir.

ABD'de 2004 yılında kâr amacı gütmeyen bir kuruluş olarak kurulan OWASP Vakfı, OWASP altyapısını ve projelerini desteklemektedir. OWASP, 2011 yılından beri Belçika'da OWASP Europe VZW adı altında kâr amacı gütmeyen bir kuruluş olarak tescil edilmiştir.[6]

Yayınlar ve kaynaklar

değiştir
  • OWASP İlk On: İlk olarak 2003 yılında yayınlanan "İlk On" düzenli olarak güncellenmektedir.[7] Kuruluşların karşı karşıya olduğu en kritik risklerden bazılarını belirleyerek uygulama güvenliği konusunda farkındalık yaratmayı amaçlamaktadır.[8][9][10] MITRE, PCI DSS,[11] Savunma Bilgi Sistemleri Ajansı (DISA-STIG ) ve Birleşik Devletler Federal Ticaret Komisyonu (FTC)[12] dahil olmak üzere birçok standart, kitap, araç (tool) ve birçok kuruluş En İyi 10 projesine atıfta bulunmaktadır.
  • OWASP Yazılım Güvencesi Olgunluk Modeli: Yazılım Güvencesi Olgunluk Modeli (The Software Assurance Maturity Model) projesi, kuruluşların karşılaştığı belirli iş risklerine göre uyarlanmış bir uygulama güvenliği stratejisi oluşturmaktadır. Ayrıca söz konusu stratejinin formüle etmesine ve uygulamasına yardımcı olmak için kullanılabilir bir çerçeve oluşturmaya kararlıdır.
  • OWASP Geliştirme Kılavuzu: Geliştirme Kılavuzu, pratik rehberlik sağlamaktadır. Ayrıca, J2EE, ASP.NET ve PHP kod örnekleri içermektedir. Geliştirme Kılavuzu, SQL enjeksiyonundan kaynaklanan çeşitli modern endişelere neden olan çeşitli uygulamalarda güvenlik sorunlarını kapsar. Bu sorunlara kimlik avı, kredi kartı işleme, oturum sabitleme, siteler arası istek sahteciliği, uyumluluk ve gizlilik sorunları gibi örnekler verilebilmektedir
  • OWASP Test Kılavuzu: OWASP Test Kılavuzu, kullanıcıların kendi organizasyonlarında uygulayabilecekleri "en kullanışlı" sızma testi sistemidir. Ayrıca en yaygın web uygulaması ve web hizmeti güvenlik sorunlarını test etme tekniklerini açıklayan "düşük seviyeli" bir sızma testi kılavuzu içermektedir Sürüm 4, 60 kişinin girdileriyle Eylül 2014'te yayınlanmıştır.[13]
  • OWASP Kod İnceleme Kılavuzu: Kod inceleme kılavuzu şu anda Temmuz 2017'de piyasaya sürülen 2.0 sürümündedir.
  • OWASP Uygulama Güvenliği Doğrulama Standardı (ASVS): Uygulama düzeyinde güvenlik doğrulamalarını gerçekleştirmek için bir standarttır.[14]
  • OWASP XML Güvenlik Ağ Geçidi (XSG) Değerlendirme Kriterleri Projesi.[15]
  • OWASP En İyi 10 Olay Müdahale Kılavuzu: Bu proje, Olay Müdahale Planlamasına proaktif bir yaklaşım sağlamaktadır. Bu belgenin hedef kitlesi, işletme sahiplerinden güvenlik mühendislerine, geliştiricilere, denetimden, program yöneticilerine, kolluk kuvvetleri ve hukuk konseyine kadar olan kitleyi içermektedir.[16]
  • OWASP ZAP Projesi: Zed Attack Proxy (ZAP), web uygulamalarındaki güvenlik açıklarını bulmak için kullanımı kolay bir entegre sızma testi aracıdır. Sızma testinde yeni olan geliştiriciler ve işlevsel test uzmanları da dahil olmak üzere çok çeşitli güvenlik deneyimine sahip kişiler tarafından kullanılmak üzere tasarlanmıştır.
  • Webgoat: OWASP tarafından güvenli programlama uygulamaları için bir kılavuz olarak oluşturulan, kasıtlı olarak güvenli olmayan bir web uygulamasıdır. Uygulama indirildikten sonra bir öğretici ve öğrencilere güvenli bir şekilde kod yazmayı öğretmek amacıyla güvenlik açıklarından nasıl yararlanacaklarını öğreten bir dizi farklı dersle birlikte gelmektedir.
  • OWASP AppSec Ardışık Düzeni: Uygulama Güvenliği Sağlam DevOps Boru Hattı Projesi (The Application Security (AppSec) Rugged DevOps Pipeline Project), bir uygulama güvenlik programının hızını ve otomasyonunu artırmak için gereken bilgilerin bulunabileceği bir yerdir. AppSec Pipelines, DevOps ve Lean ilkelerini temel almaktadır ve bunu bir uygulama güvenlik programına uygulamaktadır.[17]
  • Web Uygulamalarına Yönelik OWASP Otomatik Tehditleri : Temmuz 2015'te yayınlanmıştır.[18] OWASP Web Uygulamalarına Yönelik Otomatik Tehditler Projesi, kimlik bilgileri doldurma gibi otomatik tehditlere karşı savunmaya yardımcı olmaktadır. Bu proje, mimarlar, geliştiriciler, test uzmanları ve diğerleri için kesin bilgiler, çeşitli kaynaklar sağlamayı amaçlamaktadır. OWASP tarafından tanımlanan proje en iyi 20 otomatik tehdidi özetlemektedir.[19]
  • OWASP API Güvenlik Projesi: Uygulama Programlama Arayüzlerinin (Application Programming Interfaces) özgün güvenlik açıklarını ve güvenlik risklerini anlamak ve azaltmak için stratejilere ve çözümlere odaklanmaktadır. En güncel liste olan API Security Top 10 2019 listesini içermektedir.[20]

Ödüller

değiştir

OWASP organizasyonu, 2014 Haymarket Media Group SC Dergisi'nde Editörün Seçimi ödülünü almıştır.[5][21]

Ayrıca bakınız

değiştir

Kaynakça

değiştir
  1. ^ a b c d Huseby, Sverre (2004). Innocent Code: A Security Wake-Up Call for Web Programmers. Wiley. s. 203. ISBN 0470857447. 
  2. ^ "OWASP FOUNDATION INC". Nonprofit Explorer. ProPublica. 22 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ocak 2020. 
  3. ^ a b "OWASP Foundation's Form 990 for fiscal year ending Dec. 2017". 26 Ekim 2018. 22 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ocak 2020 – ProPublica Nonprofit Explorer vasıtasıyla. 
  4. ^ "OWASP top 10 vulnerabilities". developerWorks. IBM. 20 Nisan 2015. 8 Aralık 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Kasım 2015. 
  5. ^ a b "SC Magazine Awards 2014" (PDF). Media.scmagazine.com. 22 Eylül 2014 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 3 Kasım 2014. 
  6. ^ OWASP Europe, OWASP, 2016
  7. ^ "OWASP Top Ten Project on owasp.org". 17 Ocak 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Mayıs 2021. 
  8. ^ Trevathan (1 Ekim 2015). "Seven Best Practices for Internet of Things". Database and Network Journal. 28 Kasım 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Kasım 2015Şablon:Highbeam vasıtasıyla. 
  9. ^ Crosman (24 Temmuz 2015). "Leaky Bank Websites Let Clickjacking, Other Threats Seep In". American Banker. 28 Kasım 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Kasım 2015Şablon:Highbeam vasıtasıyla. 
  10. ^ "Infosec bods rate app languages; find Java 'king', put PHP in bin". The Register. 4 Aralık 2015. 5 Aralık 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Aralık 2015. 
  11. ^ "Payment Card Industry (PCI) Data Security Standard" (PDF). PCI Security Standards Council. November 2013. s. 55. 20 Kasım 2013 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 3 Aralık 2015. 
  12. ^ "Open Web Application Security Project Top 10 (OWASP Top 10)". Synopsys. Synopsys, Inc. 2017. 5 Temmuz 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Temmuz 2017. Many entities including the PCI Security Standards Council, National Institute of Standards and Technology (NIST), and the Federal Trade Commission (FTC) regularly reference the OWASP Top 10 as an integral guide for mitigating Web application vulnerabilities and meeting compliance initiatives. 
  13. ^ Pauli (18 Eylül 2014). "Comprehensive guide to obliterating web apps published". The Register. 6 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Kasım 2015. 
  14. ^ Foundations of Information Security Based on ISO27001 and ISO27002. 3. Van Haren. 2015. s. 144. ISBN 9789401800129. 17 Ocak 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Mayıs 2021. 
  15. ^ "Category:OWASP XML Security Gateway Evaluation Criteria Project Latest". Owasp.org. 3 Kasım 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 3 Kasım 2014. 
  16. ^ "Archived copy". 6 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Aralık 2015. 
  17. ^ "OWASP AppSec Pipeline". Open Web Application Security Project (OWASP). 18 Ocak 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 26 Şubat 2017. 
  18. ^ "AUTOMATED THREATS to Web applications" (PDF). OWASP. July 2015. 11 Temmuz 2018 tarihinde kaynağından (PDF) arşivlendi. 
  19. ^ "The list of automated threat events". 12 Nisan 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Mayıs 2021. 
  20. ^ "OWASP API Security Project - API Security Top 10 2019". OWASP. 18 Şubat 2020 tarihinde kaynağından arşivlendi. 
  21. ^ "Winners | SC Magazine Awards". Awards.scmagazine.com. 20 Ağustos 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 17 Temmuz 2014. Editor's Choice [...] Winner: OWASP Foundation 

Dış bağlantılar

değiştir