Úctyhodný Open Web Application Security Project (OWASP)

26. 1. 2015
Doba čtení: 5 minut

Sdílet

Projekt a komunitu Open Web Application Security Project (OWASP) čtenářům Roota asi nemusím dlouze představovat. Nejen v zahraničí, ale čím dál tím více i v Česku si zkratka OWASP získává důvěru mnoha specialistů, kteří se zabývají vývojem webových aplikací či jejich bezpečností. Proč je úctyhodný?

Osobně již mnoho let OWASP vítám jako nestranný otevřený zdroj „svobodných“ informací o osvědčených postupech, které by podle mého přesvědčení měly být součástí know-how každého, kdo se vývoji a bezpečnosti webových aplikací věnuje. Zvláště v dnešní době, kdy se k tématu kyberbezpečnosti vyjadřuje prakticky každý, „důležitých“ bezpečnostních funkcí či rolí se chápe kdekdo a zároveň význam a výzvy v zabezpečení aplikací snad nikdy nebyly větší, bych OWASP doporučil opravdu každému, kdo o kyberbezpečnost třeba jen zavadí – OWASP zastává pojetí bezpečnosti nejen jakožto problému aplikačního, ale i lidského, procesního a technologického.

Seriál vznikl za přispění Národního CSIRT týmu České republiky CSIRT.CZ, který provozuje sdružení CZ.NIC, správce české národní domény. CSIRT.CZ je bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice. Cílem jeho členů je pomáhat provozovatelům internetových sítí v České republice zřizovat jejich vlastní bezpečnostní týmy a bezpečnostní infrastrukturu, řešit bezpečnostní incidenty a tím zlepšovat bezpečnost jejich sítí i globálního internetu. Více informací na www.csirt.cz.

csirt.cz

OWASP byl zahájen v roce 2001 a od roku 2004 funguje jako oficiální nezisková organizace OWASP Foundation ve více než 100 zemích světa. OWASP je komunitou s více než 42 000 členy, čímž se stal zřejmě největší komunitou na světě, která se zabývá bezpečností aplikací. OWASP nabízí bezplatně a zadarmo bezpečnostní nástroje, standardy, výzkumné projekty, e-mailové konference, místní pobočky po celém světě, kompletní knihy o testování bezpečnosti aplikací, vývoji bezpečného kódu a bezpečnostní revizi kódu a mnoho dalšího.

OWASP má v logu vosu – anglicky „wasp“

Na celém světě existuje více než 200 aktivních místních poboček, a i v Česku je jedna. Můžete se stát členem místní pobočky, pobočku si založit anebo se prostě můžete do činnosti OWASP zapojit bez vazby na jakoukoli pobočku. V různých konferencích OWASP se angažuje téměř 4000 vývojářů a bezpečnostních specialistů. Pod křídly OWASP existuje více než 150 různých open-source projektů a technických materiálů. Mezi prominentní projekty OWASP patří Top 10, security cheat sheets, Zed Attack Proxy (ZAP), AppSensor, Xenotix XSS Exploitation Framework, Security Principles a mnoho dalších.

Za eminentní projekt považuji OWASP Top 10, jehož hlavní poslání je charakteru vzdělávacího a osvětového. Vývojáře, návrháře, architekty, manažery i organizace seznamuje s deseti nejvýznamnějšími zranitelnostmi webových aplikací a se základními technikami ochrany proti nim. A nejen to: Top 10 radí, kudy se mají vývojáři, ověřovatelé či organizace ubírat dál, protože zranitelností neexistuje pouze deset. Zároveň je skvělým odrazovým můstkem pro všechny, kdo se nechtějí aplikační bezpečnosti pouze myšlenkově dotknout, ale touží po dokonalejším zabezpečení aplikací, které je ovšem nejednou nezbytné.

Vytvořit bezpečnou webovou aplikaci, opravit stávající anebo spravovat rozsáhlé portfolio aplikací velmi často bývá úkol obtížný. Obtížným úkolem může také být ověřit úroveň zabezpečení aplikace, kterou pořizujeme anebo kterou jsme vyvinuli. Zabezpečení v dnešní době už nemůžeme považovat za „nepovinné“. Narůstají společenské a regulační tlaky, množí se útoky, a proto ani pro organizace samotné nebývá jednoduché vytvořit účinné zabezpečení aplikací. Kdo se kyberbezpečnosti opravdu poctivě věnuje, mi jistě dá za pravdu, že je to veliká dřina spojena nejen s mnoha probdělými nocemi, pracovními přesčasy a osobními oběťmi. OWASP nám přináší úlevu, práci ulehčí alespoň tím, že poradí, často velmi konkrétně a návodně, jak v aplikační bezpečnosti postupovat.

Vývojářům při stanovení bezpečnostních požadavků pomůže Application Security Verification Standard (ASVS), v případě outsourcingu OWASP Secure Software Contract Annex. OWASP Developer GuideOWASP Prevention Cheat Sheets oceníme při budování arichtektury zabezpečení aplikací – než aplikace různým zabezpečením dovybavovat, je z pohledu nákladů daleko vhodnější vytvářet aplikace již zabezpečené. Programátorům psát méně rizikové anebo zabezpečit již existující aplikace pomáhá OWASP Enterprise Security API (ESAPI), který je možné použít pro Javu, .NET, PHP, Classic ASP, Python, ColdFusion, CFML a JavaScript.

Ověřovatelům s definováním a rozvíjením různě přísných úrovní při posuzování bezpečnosti aplikací pomáhá OWASP Application Security Verification Standard (ASVS). Nejen testeři uvítají OWASP Live CD Project, sadu testovacích nástrojů dostupnou z živého CD či VM. Testeři by se měli povinně seznámit s OWASP Testing Guide a ten, kdo se zabývá revizí kódu, zase s OWASP Code Review Guide.

Jestliže chce organizace lépe zabezpečit životní cyklus vývoje, je vhodné, aby se seznámila s OWASP Software Assurance Maturity Model (SAMM). Bez užitku jistě nezůstane OWASP Education Project, který nabízí širokou škálu školících a prezentačních materiálů. Vzdělávat se je možné i prakticky pomocí záměrně děravých aplikací – OWASP WebGoat, WebGoat.NET nebo OWASP Broken Web Application Project. Pokud holdujete konferencím, nevynechte OWASP AppSec.

bitcoin školení listopad 24

I v Česku existují aktivity spojené s OWASP. Dlouhodobě je u nás OWASP spojen spíše s komerčními aktivitami bezpečnostně zaměřených specialistů a firem, od nichž v pestrých podobách konzultací, penetračních testů aj. přichází na trh s bezpečností. Je velmi příjemné sledovat, že zde existují i snahy nekomerčního charakteru, ať už záslužný experiment s již zmiňovanou českou pobočkou OWASP nebo Skener webu od společnosti CZ.NIC. Důvěrný vztah mám k projektu OWASP Web Application Security Accessibility Project (WASA), jemuž se po několika letech opět věnuji a jímž se nám podařilo zaujmout nejen vedení OWASP, ale také například studenty etického hackingu, který se vyučuje na University of Florida. Národní CSIRT tým České republiky (CZ.NIC, z. s. p. o.) přinesl český překlad OWASP Top 10, projektu, který jsem výše akcentoval a o jehož nejen celonárodní důležitosti jsme přesvědčeni.

Ano, OWASP si získal i význam národního charakteru, byť v České republice lze v tomto ohledu sledovat pouhé záblesky. Zvláště OWASP Top 10 nalezneme v nejednom regulačním análu např. v USA, EU (třeba v rámci European Union Agency for Network and Information Security), ale i v menších národních uskupeních. Promyšlená zákonná opatření jsou jistě zapotřebí, míra společenské i technologické odolnosti vůči útokům však závisí především na šikovnosti specialistů, pro něž je OWASP úctyhodnou záležitostí, díky které mohou výrazně snížit bezpečnostní rizika aplikací. Když si uvědomím, čeho všeho OWASP za 14 let své existence dosáhl, musím opravdu použít nadpis „Úctyhodný Open Web Application Security Project“.

Autor článku

Petr Dušek se věnuje kvalitě a testování SW, inicioval také vznik projektů CAPTCHA Help a Skener webu či překlad OWASP Top 10.