开放式 Web 应用程序安全项目 (OWASP) 是一个致力于改进软件安全的非营利慈善组织。OWASP 基于开源软件的原则运作,特别是社区是创造和贡献力量的理念。这里的独特之处在于 OWASP 不是软件,而是一套由社区创建的指南,旨在帮助开发人员堵塞代码中的安全漏洞。
安全最近已成为软件开发中非常重要的一个方面,但并非每个人都了解编写安全代码的方法。您可能会认为,“我的开发团队非常有经验/技术娴熟/高效,他们可以编写 100% 安全的代码”,但如果您关注新闻,您会意识到即使是大型网站也经常被攻陷或用户数据泄露。您的网站应该做好充分准备,通过遵循 OWASP 的这些指南来避免此类攻击。
例如:Jim 是一名开发人员,正在开发一个软件工具,让人们可以保存他们的日常作息并跟踪他们的健身计划。当然,这个应用程序具有登录/注册机制和一个数据库来保存用户的详细信息以及其他功能。由于截止日期临近,Jim 没有太多时间关心代码安全,他完成了功能。后来,在内部安全审查期间(或者更糟糕的是在生产阶段)发现了几个明显的漏洞。Jim 不得不承受批评的冲击,但他应该受到责备吗?
软件开发已发展成为广阔的领域,再加上不断缩短的截止日期,这是产生容易受到安全攻击的代码的完美风暴。即使是开发人员的无知或懒惰等其他因素也可能引入安全漏洞。虽然对于不断增长的软件领域的规模或不断缩短的截止日期几乎无能为力,但可以培训开发人员使用 OWASP 指南编写固有的安全代码。
开发人员、安全分析师和其他人员可以使用 OWASP 指南,同时将知识贡献回指南。如何做?
使用 OWASP 的 4 种方式
备忘单包含与特定功能相关的高质量、简洁的数据。您可以花更少的时间搜索答案,而花更多的时间理解它们。
假设您正在为您的网站开发“忘记密码”功能,并且想知道应该遵循哪些指南。在 OWASP 网站上的“备忘单”部分,查找“忘记密码备忘单。”
查找有关软件开发的全面信息,从“基础”和“架构”到“配置”和“操作”。
开发者指南是最初的 OWASP 项目,始于 2002 年。
这是网站上的视频教程部分,旨在以易于理解的格式传递更复杂的信息。视频时长通常为 5 到 10 分钟,并且基于安全概念、工具或方法。
与开发者指南类似,还有一个测试人员指南,旨在培训测试人员如何在软件的安全关键区域查找错误。
评论已关闭。