Úctyhodný Open Web Application Security Project (OWASP)

Petr Závodský 26. 1. 2015

Projekt a komunitu Open Web Application Security Project (OWASP) čtenářům Roota asi nemusím dlouze představovat. Nejen v zahraničí, ale čím dál tím více i v Česku si zkratka OWASP získává důvěru mnoha specialistů, kteří se zabývají vývojem webových aplikací či jejich bezpečností. Proč je úctyhodný?

Osobně již mnoho let OWASP vítám jako nestranný otevřený zdroj „svobodných“ informací o osvědčených postupech, které by podle mého přesvědčení měly být součástí know-how každého, kdo se vývoji a bezpečnosti webových aplikací věnuje. Zvláště v dnešní době, kdy se k tématu kyberbezpečnosti vyjadřuje prakticky každý, „důležitých“ bezpečnostních funkcí či rolí se chápe kdekdo a zároveň význam a výzvy v zabezpečení aplikací snad nikdy nebyly větší, bych OWASP doporučil opravdu každému, kdo o kyberbezpečnost třeba jen zavadí – OWASP zastává pojetí bezpečnosti nejen jakožto problému aplikačního, ale i lidského, procesního a technologického.

Seriál vznikl za přispění Národního CSIRT týmu České republiky CSIRT.CZ, který provozuje sdružení CZ.NIC, správce české národní domény. CSIRT.CZ je bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice. Cílem jeho členů je pomáhat provozovatelům internetových sítí v České republice zřizovat jejich vlastní bezpečnostní týmy a bezpečnostní infrastrukturu, řešit bezpečnostní incidenty a tím zlepšovat bezpečnost jejich sítí i globálního internetu. Více informací na www.csirt.cz.

csirt.cz

OWASP byl zahájen v roce 2001 a od roku 2004 funguje jako oficiální nezisková organizace OWASP Foundation ve více než 100 zemích světa. OWASP je komunitou s více než 42 000 členy, čímž se stal zřejmě největší komunitou na světě, která se zabývá bezpečností aplikací. OWASP nabízí bezplatně a zadarmo bezpečnostní nástroje, standardy, výzkumné projekty, e-mailové konference, místní pobočky po celém světě, kompletní knihy o testování bezpečnosti aplikací, vývoji bezpečného kódu a bezpečnostní revizi kódu a mnoho dalšího.

OWASP má v logu vosu – anglicky „wasp“

Na celém světě existuje více než 200 aktivních místních poboček, a i v Česku je jedna. Můžete se stát členem místní pobočky, pobočku si založit anebo se prostě můžete do činnosti OWASP zapojit bez vazby na jakoukoli pobočku. V různých konferencích OWASP se angažuje téměř 4000 vývojářů a bezpečnostních specialistů. Pod křídly OWASP existuje více než 150 různých open-source projektů a technických materiálů. Mezi prominentní projekty OWASP patří Top 10, security cheat sheets, Zed Attack Proxy (ZAP), AppSensor, Xenotix XSS Exploitation Framework, Security Principles a mnoho dalších.

Za eminentní projekt považuji OWASP Top 10, jehož hlavní poslání je charakteru vzdělávacího a osvětového. Vývojáře, návrháře, architekty, manažery i organizace seznamuje s deseti nejvýznamnějšími zranitelnostmi webových aplikací a se základními technikami ochrany proti nim. A nejen to: Top 10 radí, kudy se mají vývojáři, ověřovatelé či organizace ubírat dál, protože zranitelností neexistuje pouze deset. Zároveň je skvělým odrazovým můstkem pro všechny, kdo se nechtějí aplikační bezpečnosti pouze myšlenkově dotknout, ale touží po dokonalejším zabezpečení aplikací, které je ovšem nejednou nezbytné.

Vytvořit bezpečnou webovou aplikaci, opravit stávající anebo spravovat rozsáhlé portfolio aplikací velmi často bývá úkol obtížný. Obtížným úkolem může také být ověřit úroveň zabezpečení aplikace, kterou pořizujeme anebo kterou jsme vyvinuli. Zabezpečení v dnešní době už nemůžeme považovat za „nepovinné“. Narůstají společenské a regulační tlaky, množí se útoky, a proto ani pro organizace samotné nebývá jednoduché vytvořit účinné zabezpečení aplikací. Kdo se kyberbezpečnosti opravdu poctivě věnuje, mi jistě dá za pravdu, že je to veliká dřina spojena nejen s mnoha probdělými nocemi, pracovními přesčasy a osobními oběťmi. OWASP nám přináší úlevu, práci ulehčí alespoň tím, že poradí, často velmi konkrétně a návodně, jak v aplikační bezpečnosti postupovat.

Vývojářům při stanovení bezpečnostních požadavků pomůže Application Security Verification Standard (ASVS), v případě outsourcingu OWASP Secure Software Contract Annex. OWASP Developer GuideOWASP Prevention Cheat Sheets oceníme při budování arichtektury zabezpečení aplikací – než aplikace různým zabezpečením dovybavovat, je z pohledu nákladů daleko vhodnější vytvářet aplikace již zabezpečené. Programátorům psát méně rizikové anebo zabezpečit již existující aplikace pomáhá OWASP Enterprise Security API (ESAPI), který je možné použít pro Javu, .NET, PHP, Classic ASP, Python, ColdFusion, CFML a JavaScript.

Ověřovatelům s definováním a rozvíjením různě přísných úrovní při posuzování bezpečnosti aplikací pomáhá OWASP Application Security Verification Standard (ASVS). Nejen testeři uvítají OWASP Live CD Project, sadu testovacích nástrojů dostupnou z živého CD či VM. Testeři by se měli povinně seznámit s OWASP Testing Guide a ten, kdo se zabývá revizí kódu, zase s OWASP Code Review Guide.

Jestliže chce organizace lépe zabezpečit životní cyklus vývoje, je vhodné, aby se seznámila s OWASP Software Assurance Maturity Model (SAMM). Bez užitku jistě nezůstane OWASP Education Project, který nabízí širokou škálu školících a prezentačních materiálů. Vzdělávat se je možné i prakticky pomocí záměrně děravých aplikací – OWASP WebGoat, WebGoat.NET nebo OWASP Broken Web Application Project. Pokud holdujete konferencím, nevynechte OWASP AppSec.

I v Česku existují aktivity spojené s OWASP. Dlouhodobě je u nás OWASP spojen spíše s komerčními aktivitami bezpečnostně zaměřených specialistů a firem, od nichž v pestrých podobách konzultací, penetračních testů aj. přichází na trh s bezpečností. Je velmi příjemné sledovat, že zde existují i snahy nekomerčního charakteru, ať už záslužný experiment s již zmiňovanou českou pobočkou OWASP nebo Skener webu od společnosti CZ.NIC. Důvěrný vztah mám k projektu OWASP Web Application Security Accessibility Project (WASA), jemuž se po několika letech opět věnuji a jímž se nám podařilo zaujmout nejen vedení OWASP, ale také například studenty etického hackingu, který se vyučuje na University of Florida. Národní CSIRT tým České republiky (CZ.NIC, z. s. p. o.) přinesl český překlad OWASP Top 10, projektu, který jsem výše akcentoval a o jehož nejen celonárodní důležitosti jsme přesvědčeni.

Ano, OWASP si získal i význam národního charakteru, byť v České republice lze v tomto ohledu sledovat pouhé záblesky. Zvláště OWASP Top 10 nalezneme v nejednom regulačním análu např. v USA, EU (třeba v rámci European Union Agency for Network and Information Security), ale i v menších národních uskupeních. Promyšlená zákonná opatření jsou jistě zapotřebí, míra společenské i technologické odolnosti vůči útokům však závisí především na šikovnosti specialistů, pro něž je OWASP úctyhodnou záležitostí, díky které mohou výrazně snížit bezpečnostní rizika aplikací. Když si uvědomím, čeho všeho OWASP za 14 let své existence dosáhl, musím opravdu použít nadpis „Úctyhodný Open Web Application Security Project“.

Našli jste v článku chybu?
Vitalia.cz: Unikátní fotografie: Sládek sbírá pivní pěny

Unikátní fotografie: Sládek sbírá pivní pěny

120na80.cz: Jsou opalovací krémy pro děti jiné?

Jsou opalovací krémy pro děti jiné?

DigiZone.cz: Náhrada za nevrácená zařízení?

Náhrada za nevrácená zařízení?

DigiZone.cz: Slováci první, Češi třetí. Krásný...

Slováci první, Češi třetí. Krásný...

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma

Lupa.cz: Na základně u Dobříše se rozjel 3D tisk z kovu

Na základně u Dobříše se rozjel 3D tisk z kovu

Lupa.cz: Jaké IoT tarify nabízejí mobilní operátoři?

Jaké IoT tarify nabízejí mobilní operátoři?

DigiZone.cz: ČTÚ květen: rušení TV vysílání narůstá

ČTÚ květen: rušení TV vysílání narůstá

DigiZone.cz: Skylink zapojil nový transpondér

Skylink zapojil nový transpondér

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Podnikatel.cz: Jeho dřevěné hodinky chtějí na všech kontinentech

Jeho dřevěné hodinky chtějí na všech kontinentech

Vitalia.cz: Další Míša má Klasu

Další Míša má Klasu

DigiZone.cz: Markíza: tady je předběžné opatření

Markíza: tady je předběžné opatření

DigiZone.cz: TV Nova a její postoj k DVB-T2

TV Nova a její postoj k DVB-T2

DigiZone.cz: Skylink: Nova Sport volně

Skylink: Nova Sport volně

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit

Podnikatel.cz: Oblíbené Babišovo reverse charge. Potopilo je?

Oblíbené Babišovo reverse charge. Potopilo je?

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

Lupa.cz: eIDAS je tu. O co přijdeme u elektronických podpisů?

eIDAS je tu. O co přijdeme u elektronických podpisů?