Ненадежное программное обеспечение подрывает безопасность критических инфраструктур, относящихся, например, к здравоохранению, обороне, энергетике или финансам. Программное обеспечение становится сложнее, устройств, подключенных к сети, становится больше, поэтому обеспечение безопасности ПО остается важной задачей. Быстрое развитие методов разработки ПО приводит к необходимости оперативно и безошибочно выявлять, а также устранять наиболее часто возникающие угрозы.
Что такое OWASP
OWASP (Open Web Application Security Project) — это некоммерческая организация, которая разрабатывает инструменты, документы, проекты и направленные на улучшения безопасности веб-приложений. OWASP публикует список наиболее распространенных уязвимостей в веб-приложениях (OWASP Top 10), проводит обучающие мероприятия и разрабатывает инструменты для тестирования безопасности веб-приложений. Все продукты, разрабатываемые организацией бесплатны и доступны с открытым исходным кодом.
Среди целей, которые преследует OWASP, можно отметить:
повышение осведомленности пользователей о рисках безопасности веб-приложений
предоставление практических рекомендаций по устранению уязвимостей безопасности
разработка инструментов и ресурсов для автоматизации тестирования безопасности веб приложений
продвижение лучших практик в области безопасности веб-приложений
Сроки и этапы подготовки нового рейтинга OWASP Toп-10 2024
Текущее состояние проекта можно проследить по графику на сайте.В целом, формирование новой десятки от OWASP состоит из следующих этапов и сроков:
сбор данных за период 2021-2023 гг: январь 2024 – июнь 2024;
анализ полученной информации: июль 2024;
предварительный перечень и его согласование: август 2024;
Проходит он до июня включительно. Заявки от участников (принимают от любого желающего) команда OWASP принимала до апреля 2024 года. Для каждого набора данных указывались:
имя участника (организация или аноним)
контактная электронная почта участника
период времени (2023, 2022, 2021)
количество протестированных приложений
CWEs с количеством приложений, содержащих их
тип тестирования (TaH, HaT, Инструменты)
основной язык (код)
географический регион (Глобальный, Северная Америка, ЕС, Азия, другие)
основная отрасль (финансовая, промышленная, программное обеспечение и др.)
содержат ли данные повторные тесты или одни и те же приложения несколько раз (T / F)
Рейтинг OWASP 2021
Напомним, как выглядит текущий рейтинг OWASP.Он был опубликован в 2021 году и в нашем блоге собраны статьи по теме. Ранжировались уязвимости в соответствии с их воздействием и количеством зафиксированных инцидентов:
В 2024 году уже опубликован рейтинг для мобильных устройств - OWASP Mobile Top-10. Рассмотрим изменения в сравнительной таблице перечня 2016 года с новым.
Кроме отдельного проекта OWASP для мобильных устройств есть OWASP API Security, о котором мы писали ранее.
Где используют OWASP
Специалисты используют стандарт OWASP Top 10 для выявления уязвимостей в веб-приложениях при проведении пентеста.
Также рейтинг используется:
для информирования. Список позволяет разработчикам, специалистам по безопасности и менеджерам быть в курсе приоритетов безопасности веб-приложений.
для обучения. OWASP Top 10 может быть учебным материалом для разработчиков, специалистов по безопасности и другого технического персонала, участвующего в разработке программного обеспечения.
для определения приоритетов. Определив главные риски из списка для своей компании, можно правильно распределить ресурсы.
в процессе разработки программного обеспечения. OWASP Top 10 используется почти на каждом этапе цикла разработки программного обеспечения: на этапе проектирования, чтобы убедиться, что команда реализует базовые практики безопасности; в цепочке разработки программного обеспечения, чтобы обеспечить безопасность сторонних компонентов и сервисов, используемых для разработки приложения.
для соответствия стандартам безопасности. Организации, соответствующие HIPAA или PCI DSS, используют OWASP Top 10 в качестве контрольного списка для измерения уровня безопасности приложений своих партнёров.
в требованиях к подрядчикам. Некоторые компании включают список OWASP Top 10 в требования к подрядчикам.
при найме. Компании могут использовать OWASP Top 10 для оценки знаний безопасности кандидата.
Это набор рекомендаций по обеспечению безопасности веб-приложений с самого начала процесса их разработки. Рекомендации основаны на уроках, извлеченных из анализа реальных уязвимостей и атак и предназначены для устранения основных причин уязвимостей приложений. Они охватывают весь жизненный цикл разработки программного обеспечения (SDLC), от проектирования и разработки до развертывания и обслуживания. Рекомендации сгруппированы в 10 категорий:
управление требованиями к безопасности;
проектирование безопасной архитектуры;
безопасное кодирование;
тестирование безопасности;
управление развертыванием;
управление операциями безопасности;
управление инцидентами безопасности;
управление конфигурацией безопасности;
управление уязвимостями;
обучение и осведомленность о безопасности.
Каждая категория содержит набор конкретных рекомендаций, которые организации могут внедрить для улучшения своей безопасности приложений. Например, категория "Безопасное кодирование" включает рекомендации по использованию безопасных методов кодирования, таких как проверка ввода, кодирование вывода и использование криптографически безопасных алгоритмов.
Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.