Open Web Application Security Project: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 11:33, 5 giu 2024 modifica Chackrasky (discussione \| contributi) 1 modifica l'acronimo di OWASP a inizio testo era sbagliato Etichetta: Modifica visuale ← Differenza precedente		Versione attuale delle 15:20, 25 mar 2025 modifica annulla 192.167.8.195 (discussione) →Pubblicazioni e risorse Etichetta: Modifica visuale
(3 versioni intermedie di 3 utenti non mostrate)
Riga 1: {{S\|internet}} L''''Open Web Application Security Project [https://twitter.com/bilcorry/status/1629165062207442944]''' (chiamato semplicemente '''OWASP''') è un progetto [[Open source\|open-source]] che ha lo scopo di formulare linee guida, strumenti e metodologie per migliorare la sicurezza delle [[Applicazione (informatica)\|applicazioni informatiche]]. Fu avviato il 9 settembre [[2001]]<ref>{{Cita web\|url=https://wiki.owasp.org/index.php/About_The_Open_Web_Application_Security_Project\|titolo=About The Open Web Application Security Project - OWASP\|sito=wiki.owasp.org\|accesso=~~2020-04-~~26 aprile 2020}}</ref> da [[Mark Curphey]], [[Dennis Groves]] e [[Jeremiah Grossman]]. Nel [[2004]] fu istituita una fondazione no-profit che sostiene l'attività ~~sel~~del progetto OWASP, che persegue l'obiettivo di aumentare la sicurezza delle applicazioni consentendo di prendere le decisioni in base ai rischi. In Europa è un'organizzazione no-profit registrata a partire da giugno 2011; è presente anche in Italia con il Chapter OWASP-Italy<ref>{{Cita web\|url=https://wiki.owasp.org/index.php?title=Italy\|titolo=Italy - OWASP\|sito=wiki.owasp.org\|accesso=~~2020-04-~~26 aprile 2020}}</ref> fondato da [[Matteo Meucci]] a Gennaio del 2005. == Pubblicazioni e risorse == Riga 14: '''Incubator Projects:''' i progetti di incubatori OWASP sono in una fase sperimentale in cui gli stessi sono ancora in fase di sviluppo, le {{Chiarire\|idee sono ancora state dimostrate}} e lo sviluppo è ancora in corso. Il progetto OWASP conta più di 140 ~~matetiali~~materiali open source. Sono generalmente suddivisi in 3 categorie: - ''Protezione delle applicazioni:'' si tratta di strumenti e documenti che possono essere usati per sviluppare software sempre più sicuro. Riga 24: I più rilevanti progetti OWASP sono, {{Chiarire\|al momento\|quale?}}, i seguenti: '''- OWASP Top Ten''': la "Top Ten", pubblicata per la prima volta nel 2003, è riconosciuta a livello globale dagli sviluppatori come il primo passo verso una realizzazione del software più sicuro.<ref name=":0">{{Cita web\|url=https://owasp.org/www-project-top-ten/\|titolo=OWASP Top Ten\|sito=owasp.org\|lingua=en\|accesso=~~2020-04-~~26 aprile 2020}}</ref> Mira a sensibilizzare sulla sicurezza delle applicazioni identificando alcuni dei rischi più critici per le organizzazioni.{{Chiarire\|[9] [10] [11]\|cosa sono?}} Numerosi sono gli standard, libri, strumenti e organizzazioni che fanno riferimento al progetto Top 10, tra cui MITRE, PCI DSS, {{Chiarire\|[12]\|cos'è?}}la Defense Information Systems Agency (DISA-STIG), la Federal Trade Commission (FTC) degli Stati Uniti,{{Chiarire\|[13]\|cos'è?}} e {{Chiarire\|molti [quantificare] di più}}. '''- OWASP Software Assurance Maturity Model''' <ref name=":1">{{Cita web\|url=https://owaspsamm.org/\|titolo=OWASP SAMM\|sito=owaspsamm.org\|lingua=en\|accesso=~~2020-04-~~26 aprile 2020}}</ref>: il progetto Software Assurance Maturity Model (SAMM) si impegna a costruire un framework utilizzabile per aiutare le organizzazioni a formulare e implementare una strategia per la sicurezza delle applicazioni che sia su misura per i rischi aziendali specifici dell'organizzazione. '''- OWASP Building Guide''' <ref name=":2">{{Cita web\|url=https://wiki.owasp.org/index.php?title=Category:OWASP_Guide_Project\|titolo=OWASP Guide Project - OWASP\|sito=wiki.owasp.org\|accesso=~~2020-04-~~26 aprile 2020}}</ref>''':''' rappresenta la guida linea per lo sviluppo sicuro e fornisce una guida pratica mostrando esempi di codice J2EE, ASP.NET e PHP. La OWASP Building Guide copre una vasta gamma di problemi di sicurezza a livello di applicazione, dall'iniezione di SQL a problemi moderni come phishing, gestione delle carte di credito, conformità e problemi di privacy. '''- OWASP Proactive Controls''': la OWASP Top Ten Proactive Controls 2018 è un elenco di tecniche di sicurezza che dovrebbero essere inserite in ogni progetto di sviluppo software. Sono ordinati per ordine di importanza, con il controllo numero 1 il più importante. Questo documento è stato scritto dagli sviluppatori per gli sviluppatori per aiutare i nuovi a garantire lo sviluppo. '''- OWASP Testing Guide''' <ref>{{Cita web\|url=https://owasp.org/www-project-web-security-testing-guide/\|titolo=OWASP Web Security Testing Guide\|sito=owasp.org\|lingua=en\|accesso=~~2020-04-~~26 aprile 2020}}</ref>: la Guida alla verifica di sicurezza di OWASP comprende un framework di test che gli utenti possono implementare nelle proprie organizzazioni e una guida di [[penetration test]], più tecnica, che descrive la metodologia per sperimentare i più comuni problemi di sicurezza delle applicazioni Web e dei servizi Web. La versione 4 è stata pubblicata nel settembre 2014, con il contributo di 60 persone. La versione 4.1 è stata pubblicata ad Aprile 2020. '''- OWASP Mobile Security Testing Guide'''<ref>{{Cita web\|url=https://owasp.org/www-project-mobile-security-testing-guide/\|titolo=OWASP Mobile Security Testing Guide\|sito=owasp.org\|lingua=en\|accesso=~~2020-04-~~26 aprile 2020}}</ref>: la guida vuole definire lo standard del settore per la sicurezza delle applicazioni mobili. La guida mostra la metodologia per eseguire i test coprendo i processi, le tecniche e gli strumenti utilizzati durante un test di sicurezza delle applicazioni mobili, nonché un set esaustivo di casi di test che consente ai tester di fornire risultati coerenti e completi. '''- OWASP Code Review Guide''' <ref>{{Cita web\|url=https://wiki.owasp.org/index.php/Category:OWASP_Code_Review_Project\|titolo=Category:OWASP Code Review Project - OWASP\|sito=wiki.owasp.org\|accesso=~~2020-04-~~26 aprile 2020}}</ref>: la guida alla revisione del codice è giunta, nel luglio 2017, alla versione 2.0. '''- ~~OVASP~~OWASP Application Security Verification Standard (ASVS)''' <ref name=":0" />: uno standard per l'esecuzione di verifiche di sicurezza a livello di applicazione. '''- OWASP ZAP'''<ref name=":2" /> : Zed Attack Proxy (ZAP) è uno strumento di test di penetrazione integrato facile da usare per la ricerca di vulnerabilità nelle applicazioni Web. È progettato per essere utilizzato da persone con una vasta gamma di esperienze di sicurezza, inclusi sviluppatori e tester funzionali che sono nuovi ai [[Penetration test\|test di penetrazione]]. '''- OWASP Webgoat''' <ref>{{Cita web\|url=https://owasp.org/www-project-webgoat/\|titolo=OWASP WebGoat\|sito=owasp.org\|lingua=en\|accesso=~~2020-04-~~26 aprile 2020}}</ref>''':''' un'applicazione web volutamente insicura creata da OWASP come guida per pratiche di programmazione sicure. Una volta scaricata, l'applicazione viene fornita con un tutorial e una serie di diverse lezioni che istruiscono gli studenti su come sfruttare le vulnerabilità con l'intenzione di insegnare loro come scrivere codice in modo sicuro. '''- Pipeline AppSec OWASP''' <ref name=":1" />''':''' il progetto Pipeline DevOps di Application Security (AppSec) è un luogo dove trovare le informazioni necessarie per aumentare la velocità e l'automazione di un programma di sicurezza delle applicazioni. Le pipeline di AppSec adottano i principi di DevOps e Lean e lo applicano a un programma di sicurezza delle applicazioni.