Úctyhodný Open Web Application Security Project (OWASP)

Petr Závodský 26. 1. 2015

Projekt a komunitu Open Web Application Security Project (OWASP) čtenářům Roota asi nemusím dlouze představovat. Nejen v zahraničí, ale čím dál tím více i v Česku si zkratka OWASP získává důvěru mnoha specialistů, kteří se zabývají vývojem webových aplikací či jejich bezpečností. Proč je úctyhodný?

Osobně již mnoho let OWASP vítám jako nestranný otevřený zdroj „svobodných“ informací o osvědčených postupech, které by podle mého přesvědčení měly být součástí know-how každého, kdo se vývoji a bezpečnosti webových aplikací věnuje. Zvláště v dnešní době, kdy se k tématu kyberbezpečnosti vyjadřuje prakticky každý, „důležitých“ bezpečnostních funkcí či rolí se chápe kdekdo a zároveň význam a výzvy v zabezpečení aplikací snad nikdy nebyly větší, bych OWASP doporučil opravdu každému, kdo o kyberbezpečnost třeba jen zavadí – OWASP zastává pojetí bezpečnosti nejen jakožto problému aplikačního, ale i lidského, procesního a technologického.

Seriál vznikl za přispění Národního CSIRT týmu České republiky CSIRT.CZ, který provozuje sdružení CZ.NIC, správce české národní domény. CSIRT.CZ je bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice. Cílem jeho členů je pomáhat provozovatelům internetových sítí v České republice zřizovat jejich vlastní bezpečnostní týmy a bezpečnostní infrastrukturu, řešit bezpečnostní incidenty a tím zlepšovat bezpečnost jejich sítí i globálního internetu. Více informací na www.csirt.cz.

csirt.cz

OWASP byl zahájen v roce 2001 a od roku 2004 funguje jako oficiální nezisková organizace OWASP Foundation ve více než 100 zemích světa. OWASP je komunitou s více než 42 000 členy, čímž se stal zřejmě největší komunitou na světě, která se zabývá bezpečností aplikací. OWASP nabízí bezplatně a zadarmo bezpečnostní nástroje, standardy, výzkumné projekty, e-mailové konference, místní pobočky po celém světě, kompletní knihy o testování bezpečnosti aplikací, vývoji bezpečného kódu a bezpečnostní revizi kódu a mnoho dalšího.

OWASP má v logu vosu – anglicky „wasp“

Na celém světě existuje více než 200 aktivních místních poboček, a i v Česku je jedna. Můžete se stát členem místní pobočky, pobočku si založit anebo se prostě můžete do činnosti OWASP zapojit bez vazby na jakoukoli pobočku. V různých konferencích OWASP se angažuje téměř 4000 vývojářů a bezpečnostních specialistů. Pod křídly OWASP existuje více než 150 různých open-source projektů a technických materiálů. Mezi prominentní projekty OWASP patří Top 10, security cheat sheets, Zed Attack Proxy (ZAP), AppSensor, Xenotix XSS Exploitation Framework, Security Principles a mnoho dalších.

Za eminentní projekt považuji OWASP Top 10, jehož hlavní poslání je charakteru vzdělávacího a osvětového. Vývojáře, návrháře, architekty, manažery i organizace seznamuje s deseti nejvýznamnějšími zranitelnostmi webových aplikací a se základními technikami ochrany proti nim. A nejen to: Top 10 radí, kudy se mají vývojáři, ověřovatelé či organizace ubírat dál, protože zranitelností neexistuje pouze deset. Zároveň je skvělým odrazovým můstkem pro všechny, kdo se nechtějí aplikační bezpečnosti pouze myšlenkově dotknout, ale touží po dokonalejším zabezpečení aplikací, které je ovšem nejednou nezbytné.

Vytvořit bezpečnou webovou aplikaci, opravit stávající anebo spravovat rozsáhlé portfolio aplikací velmi často bývá úkol obtížný. Obtížným úkolem může také být ověřit úroveň zabezpečení aplikace, kterou pořizujeme anebo kterou jsme vyvinuli. Zabezpečení v dnešní době už nemůžeme považovat za „nepovinné“. Narůstají společenské a regulační tlaky, množí se útoky, a proto ani pro organizace samotné nebývá jednoduché vytvořit účinné zabezpečení aplikací. Kdo se kyberbezpečnosti opravdu poctivě věnuje, mi jistě dá za pravdu, že je to veliká dřina spojena nejen s mnoha probdělými nocemi, pracovními přesčasy a osobními oběťmi. OWASP nám přináší úlevu, práci ulehčí alespoň tím, že poradí, často velmi konkrétně a návodně, jak v aplikační bezpečnosti postupovat.

Vývojářům při stanovení bezpečnostních požadavků pomůže Application Security Verification Standard (ASVS), v případě outsourcingu OWASP Secure Software Contract Annex. OWASP Developer GuideOWASP Prevention Cheat Sheets oceníme při budování arichtektury zabezpečení aplikací – než aplikace různým zabezpečením dovybavovat, je z pohledu nákladů daleko vhodnější vytvářet aplikace již zabezpečené. Programátorům psát méně rizikové anebo zabezpečit již existující aplikace pomáhá OWASP Enterprise Security API (ESAPI), který je možné použít pro Javu, .NET, PHP, Classic ASP, Python, ColdFusion, CFML a JavaScript.

Ověřovatelům s definováním a rozvíjením různě přísných úrovní při posuzování bezpečnosti aplikací pomáhá OWASP Application Security Verification Standard (ASVS). Nejen testeři uvítají OWASP Live CD Project, sadu testovacích nástrojů dostupnou z živého CD či VM. Testeři by se měli povinně seznámit s OWASP Testing Guide a ten, kdo se zabývá revizí kódu, zase s OWASP Code Review Guide.

Jestliže chce organizace lépe zabezpečit životní cyklus vývoje, je vhodné, aby se seznámila s OWASP Software Assurance Maturity Model (SAMM). Bez užitku jistě nezůstane OWASP Education Project, který nabízí širokou škálu školících a prezentačních materiálů. Vzdělávat se je možné i prakticky pomocí záměrně děravých aplikací – OWASP WebGoat, WebGoat.NET nebo OWASP Broken Web Application Project. Pokud holdujete konferencím, nevynechte OWASP AppSec.

I v Česku existují aktivity spojené s OWASP. Dlouhodobě je u nás OWASP spojen spíše s komerčními aktivitami bezpečnostně zaměřených specialistů a firem, od nichž v pestrých podobách konzultací, penetračních testů aj. přichází na trh s bezpečností. Je velmi příjemné sledovat, že zde existují i snahy nekomerčního charakteru, ať už záslužný experiment s již zmiňovanou českou pobočkou OWASP nebo Skener webu od společnosti CZ.NIC. Důvěrný vztah mám k projektu OWASP Web Application Security Accessibility Project (WASA), jemuž se po několika letech opět věnuji a jímž se nám podařilo zaujmout nejen vedení OWASP, ale také například studenty etického hackingu, který se vyučuje na University of Florida. Národní CSIRT tým České republiky (CZ.NIC, z. s. p. o.) přinesl český překlad OWASP Top 10, projektu, který jsem výše akcentoval a o jehož nejen celonárodní důležitosti jsme přesvědčeni.

Ano, OWASP si získal i význam národního charakteru, byť v České republice lze v tomto ohledu sledovat pouhé záblesky. Zvláště OWASP Top 10 nalezneme v nejednom regulačním análu např. v USA, EU (třeba v rámci European Union Agency for Network and Information Security), ale i v menších národních uskupeních. Promyšlená zákonná opatření jsou jistě zapotřebí, míra společenské i technologické odolnosti vůči útokům však závisí především na šikovnosti specialistů, pro něž je OWASP úctyhodnou záležitostí, díky které mohou výrazně snížit bezpečnostní rizika aplikací. Když si uvědomím, čeho všeho OWASP za 14 let své existence dosáhl, musím opravdu použít nadpis „Úctyhodný Open Web Application Security Project“.

Ohodnoťte jako ve škole:

Průměrná známka 1,67

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

Lupa.cz: Zaplatíme ti, když ti seženeme práci

Zaplatíme ti, když ti seženeme práci

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

120na80.cz: Co jí dělá? Sklerotizaci

Co jí dělá? Sklerotizaci

120na80.cz: 10 nej přípravků na holení

10 nej přípravků na holení

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

Podnikatel.cz: Různé podoby lahve Coca–Coly. Úchvatné

Různé podoby lahve Coca–Coly. Úchvatné

Vitalia.cz: Mražené ryby z Makra byly falšované

Mražené ryby z Makra byly falšované

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

Podnikatel.cz: Proměny stavebnice Seva. Znáte ji?

Proměny stavebnice Seva. Znáte ji?

DigiZone.cz: Deset let od 1. kulatého stolu DigiZone.cz

Deset let od 1. kulatého stolu DigiZone.cz

120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

120na80.cz: Poznáte, který z léků je pravý?

Poznáte, který z léků je pravý?

Root.cz: Zákon o hazardu je v rozporu s ústavou

Zákon o hazardu je v rozporu s ústavou

DigiZone.cz: HD kanály ČT 24 a ČT:D budou později

HD kanály ČT 24 a ČT:D budou později