Owasp

[bullvar_katip]

Açık Web Uygulama Güvenliği Projesi (OWASP), web uygulama güvenliği alanında ücretsiz olarak kullanılabilen makaleler, metodolojiler, belgeler, araçlar ve teknolojiler üreten çevrimiçi bir topluluktur. Tarih Mark Curphey, 9 Eylül 2001'de OWASP'yi başlattı. Jeff Williams, 2003'ün sonlarından Eylül 2011'e kadar OWASP'nin gönüllü Başkanı olarak görev yapmıştır. 2015 itibarıyla Matt Konda, Yönetim Kurulu'na başkanlık etmektedir. ABD'de 2004 yılında kâr amacı gütmeyen bir kuruluş olarak kurulan OWASP Vakfı, OWASP altyapısını ve projelerini desteklemektedir. OWASP, 2011 yılından beri Belçika'da OWASP Europe VZW adı altında kâr amacı gütmeyen bir kuruluş olarak tescil edilmiştir. Yayınlar ve kaynaklar OWASP İlk On: İlk olarak 2003 yılında yayınlanan "İlk On" düzenli olarak güncellenmektedir. Kuruluşların karşı karşıya olduğu en kritik risklerden bazılarını belirleyerek uygulama güvenliği konusunda farkındalık yaratmayı amaçlamaktadır. MITRE, PCI DSS, Savunma Bilgi Sistemleri Ajansı (DISA-STIG ) ve Birleşik Devletler Federal Ticaret Komisyonu (FTC) dahil olmak üzere birçok standart, kitap, araç (tool) ve birçok kuruluş En İyi 10 projesine atıfta bulunmaktadır. OWASP Yazılım Güvencesi Olgunluk Modeli: Yazılım Güvencesi Olgunluk Modeli (The Software Assurance Maturity Model) projesi, kuruluşların karşılaştığı belirli iş risklerine göre uyarlanmış bir uygulama güvenliği stratejisi oluşturmaktadır. Ayrıca söz konusu stratejinin formüle etmesine ve uygulamasına yardımcı olmak için kullanılabilir bir çerçeve oluşturmaya kararlıdır. OWASP Geliştirme Kılavuzu: Geliştirme Kılavuzu, pratik rehberlik sağlamaktadır. Ayrıca, J2EE, ASP.NET ve PHP kod örnekleri içermektedir. Geliştirme Kılavuzu, SQL enjeksiyonundan kaynaklanan çeşitli modern endişelere neden olan çeşitli uygulamalarda güvenlik sorunlarını kapsar. Bu sorunlara kimlik avı, kredi kartı işleme, oturum sabitleme, siteler arası istek sahteciliği, uyumluluk ve gizlilik sorunları gibi örnekler verilebilmektedir OWASP Test Kılavuzu: OWASP Test Kılavuzu, kullanıcıların kendi organizasyonlarında uygulayabilecekleri "en kullanışlı" sızma testi sistemidir. Ayrıca en yaygın web uygulaması ve web hizmeti güvenlik sorunlarını test etme tekniklerini açıklayan "düşük seviyeli" bir sızma testi kılavuzu içermektedir Sürüm 4, 60 kişinin girdileriyle Eylül 2014'te yayınlanmıştır. OWASP Kod İnceleme Kılavuzu: Kod inceleme kılavuzu şu anda Temmuz 2017'de piyasaya sürülen 2.0 sürümündedir. OWASP Uygulama Güvenliği Doğrulama Standardı (ASVS): Uygulama düzeyinde güvenlik doğrulamalarını gerçekleştirmek için bir standarttır. OWASP XML Güvenlik Ağ Geçidi (XSG) Değerlendirme Kriterleri Projesi. OWASP En İyi 10 Olay Müdahale Kılavuzu: Bu proje, Olay Müdahale Planlamasına proaktif bir yaklaşım sağlamaktadır. Bu belgenin hedef kitlesi, işletme sahiplerinden güvenlik mühendislerine, geliştiricilere, denetimden, program yöneticilerine, kolluk kuvvetleri ve hukuk konseyine kadar olan kitleyi içermektedir. OWASP ZAP Projesi: Zed Attack Proxy (ZAP), web uygulamalarındaki güvenlik açıklarını bulmak için kullanımı kolay bir entegre sızma testi aracıdır. Sızma testinde yeni olan geliştiriciler ve işlevsel test uzmanları da dahil olmak üzere çok çeşitli güvenlik deneyimine sahip kişiler tarafından kullanılmak üzere tasarlanmıştır. Webgoat: OWASP tarafından güvenli programlama uygulamaları için bir kılavuz olarak oluşturulan, kasıtlı olarak güvenli olmayan bir web uygulamasıdır. Uygulama indirildikten sonra bir öğretici ve öğrencilere güvenli bir şekilde kod yazmayı öğretmek amacıyla güvenlik açıklarından nasıl yararlanacaklarını öğreten bir dizi farklı dersle birlikte gelmektedir. OWASP AppSec Ardışık Düzeni: Uygulama Güvenliği Sağlam DevOps Boru Hattı Projesi (The Application Security (AppSec) Rugged DevOps Pipeline Project), bir uygulama güvenlik programının hızını ve otomasyonunu artırmak için gereken bilgilerin bulunabileceği bir yerdir. AppSec Pipelines, DevOps ve Lean ilkelerini temel almaktadır ve bunu bir uygulama güvenlik programına uygulamaktadır. Web Uygulamalarına Yönelik OWASP Otomatik Tehditleri : Temmuz 2015'te yayınlanmıştır. OWASP Web Uygulamalarına Yönelik Otomatik Tehditler Projesi, kimlik bilgileri doldurma gibi otomatik tehditlere karşı savunmaya yardımcı olmaktadır. Bu proje, mimarlar, geliştiriciler, test uzmanları ve diğerleri için kesin bilgiler, çeşitli kaynaklar sağlamayı amaçlamaktadır. OWASP tarafından tanımlanan proje en iyi 20 otomatik tehdidi özetlemektedir. OWASP API Güvenlik Projesi: Uygulama Programlama Arayüzlerinin (Application Programming Interfaces) özgün güvenlik açıklarını ve güvenlik risklerini anlamak ve azaltmak için stratejilere ve çözümlere odaklanmaktadır. En güncel liste olan API Security Top 10 2019 listesini içermektedir. Ödüller OWASP organizasyonu, 2014 Haymarket Media Group SC Dergisi'nde Editörün Seçimi ödülünü almıştır. Ayrıca bakınız Açık Kaynak Güvenlik Vakfı Kaynakça Dış bağlantılar Kategori:Ağ güvenliği Kategori:Bilgisayar güvenliği kuruluşları Kategori:Bilgisayar ve telekomünikasyon standartları Kategori:Belçika merkezli kâr amacı gütmeyen kuruluşlar Kategori:2001'de kurulan kuruluşlar Kategori:2001'de Belçika'da kurulan oluşumlar