Open Web Application Security Project (OWASP)

1. Open Web ApplicationSecurity Project(OWASP) Petr ZávodskýCZ.NICpetr.zavodsky@owasp.org+420 602 684 316

2. Jen lidé • Vznik: 9. září 2001 • Celosvětová „free & open“ komunita zaměřená na zlepšení bezpečnosti aplikačního softwaru. • Chceme SW bezpečnost zviditelnit tak, aby jednotlivci a organizace mohli přijímat informovaná rozhodnutí o rizicích a zabezpečení. • Všichni mají možnost se podílet na OWASP a všechny materiály jsou k dispozici zdarma. • OWASP Foundation je nezisková charitativní organizace, která průběžně zajišťuje podporu naší práce.

3. Aktivity

4. OWASP Top 10

5. OWASP Top 10 • FederalTradeComission důrazně doporučujevšem společnostem používali OWASP Top 10 (a totéž požadovat od svých partnerů) • Defense Information Systems Agency (DISA) OWASP Top 10 řadí mezi klíčové osvědčené postupy • Vznikají konkrétní požadavky EU na zabezpečení systémů, např.: • Prováděcí nařízení Komise (EU) č. 1179/2011 ze dne 17. listopadu 2011, kterým se stanoví technické specifikace pro online systémy sběru podle nařízení Evropského parlamentu a Rady (EU) č. 211/2011 o občanské iniciativě • Množství komerčních subjektů

6. OWASP TestingGuide • https://www.owasp.org/index.php/Category:OWASP_Testing_Project • Detailní a srozumitelné návody, jak bezpečnostně otestovat webovou aplikaci (návody, popisy, nástroje, typologie) • Aktuálně v3, chystá se v4 • Obsahuje cca 70 testovacích případů (test case / test suit) – ty se však podle rozsahu aplikace mohou rozšířit i na několik tisíc testovacích případů • Ideální pro začlenění do vývojového procesu • Nutné testery naučit

7. České OWASP aktivity • Přístupnost bezpečnosti webových aplikací • Dobrý kód – www.dobrykod.cz • Předpoklady použití: • Uživatel je zaregistrován ve službě Dobrý kód • Uživatel používá službu Dobrý kód • Provozovatel/vývojář využívá službu Dobrý kód

8. Open Web ApplicationSecurity Project(OWASP)Děkuji za pozornost. Petr ZávodskýCZ.NICpetr.zavodsky@owasp.org+420 602 684 316