OWASP

O Open Worldwide Application Security Project (OWASP) é uma organização global sem fins lucrativos que trabalha para melhorar a segurança do software. A OWASP é uma comunidade aberta com mais de 250 capítulos locais e dezenas de milhares de membros em todo o mundo.

A OWASP Foundation, Inc. é uma organização sem fins lucrativos 501(c)3 dos Estados Unidos, governada por um Conselho Global e administrada pelo seu diretor executivo, funcionários e contratados. Foi fundada em 2004 e funciona como o órgão governante da OWASP, que compreende a infraestrutura, comunidade e projetos. A Fundação assegura que os projetos e atividades da comunidade sejam sustentáveis e alinhados com a sua missão.

A OWASP foi fundada em 2001 como o Open Web Application Security Project, com a missão de tornar a segurança das aplicações visível para que as organizações pudessem tomar decisões informadas sobre os riscos de segurança das aplicações. Esta iniciativa visava abordar a falta de informação abrangente e neutra em relação a fornecedores sobre a segurança das aplicações web disponível na altura. A OWASP publicou a primeira edição do OWASP Top Ten em 2003. Este documento identificou os dez riscos de segurança mais críticos das aplicações web, além de informações sobre como mitigar esses riscos. Outras organizações como a MITRE e a Comissão Federal do Comércio dos Estados Unidos (FTC) reconheceram rapidamente este documento como um padrão da indústria.

Outras conquistas iniciais incluem o OWASP Development Guide, que forneceu orientações sobre práticas de codificação segura, e o OWASP Testing Guide, que oferecia uma estrutura abrangente para testes de penetração. De 2006 a 2015, a OWASP continuou a publicar versões atualizadas desses guias e adicionou novos projetos como o Enterprise Security API (ESAPI), o Application Security Verification Standard (ASVS), o Open Software Assurance Maturity Model (SAMM), o Mobile Security Project, entre muitos outros.

Desde 2016, a OWASP publicou documentos adicionais Top Ten, incluindo o Mobile Top Ten e o API Security Top Ten. O trabalho continuou em projetos anteriores, e a organização intensificou os esforços para recrutar novos membros e aumentar os seus eventos globais.

OWASP originalmente significava Open Web Application Security Project. A Direção votou para mudar o “W” de “Web” para “Worldwide” no início de 2023 para refletir a expansão da organização para outros tipos de trabalho.

A OWASP é o lar de centenas de projetos, mas tem apenas quatro funções principais:

• Educação e consciencialização: A OWASP fornece recursos educativos, realiza sessões de formação e organiza workshops para aumentar a consciencialização sobre a segurança de aplicações. A comunidade também publica investigação e documentação para ajudar os desenvolvedores e profissionais de segurança a seguir as melhores práticas e evitar vulnerabilidades comuns.
• Desenvolvimento de ferramentas: Ferramentas de código aberto como OWASP Dependency-Check, Zed Attack Proxy (ZAP) e WebGoat ajudam as empresas a identificar e prevenir vulnerabilidades em aplicações.
• Construção de comunidades: Conferências globais e capítulos locais permitem que os membros partilhem conhecimento, façam brainstorm e colaborem em projetos ou outros trabalhos.
• Normas e melhores práticas: A OWASP cria e promove normas de segurança, frameworks, diretrizes e políticas para ajudar as empresas a protegerem totalmente os seus recursos.

Os projetos são iniciativas conduzidas pela comunidade para melhorar a segurança de software de uma maneira específica. A OWASP categoriza os projetos em vários tipos, incluindo projetos Flagship, ferramentas, documentação e mais. Abaixo estão alguns projetos Flagship da OWASP que demonstraram valor estratégico para a segurança de aplicações:

• OWASP Top Ten: Um relatório atualizado regularmente que descreve os dez riscos de segurança mais críticos para aplicações web.
• OWASP Zed Attack Proxy (ZAP): Um scanner de segurança de aplicações web de código aberto
• OWASP Security Knowledge Framework (SKF): Uma ferramenta que ajuda os programadores a compreender e implementar práticas de codificação segura
• OWASP Cheat Sheet Series: Uma coleção de guias concisos sobre vários tópicos de segurança de aplicações

Os projetos de produção estão prontos para produção, mas não alcançaram o mesmo nível de maturidade ou adoção que os projetos emblemáticos. Alguns exemplos:

• OWASP API Security Project: Como o OWASP Top Ten, mas para segurança de API em vez de segurança de aplicações
• OWASP CSRFGuard: Uma biblioteca concebida para mitigar o risco de ataques de falsificação de solicitação entre sites (CSRF)
• OWASP ModSecurity: O motor padrão de firewall de aplicações web (WAF) de código aberto

Existem demasiados projetos OWASP para listar aqui. A OWASP Foundation fornece os recursos e a infraestrutura para garantir o sucesso dos projetos OWASP.

Os projetos OWASP resultam em produtos como ferramentas de software, normas da indústria, frameworks, pesquisa em segurança e mais. Esses produtos têm diversos públicos com diferentes necessidades. A tabela seguinte mostra como os produtos OWASP são utilizados por diferentes tipos de profissionais:

A OWASP estabeleceu-se como um pilar na segurança de aplicações, fornecendo recursos valiosos e promovendo uma comunidade global dedicada a melhorar a segurança do software. Compreender a OWASP e os recursos que produz pode ajudar indivíduos e empresas a melhorar as suas práticas de segurança.

Termos relacionados

• OWASP Top Ten
• Segurança da API
• Cross-Site Scripting (XSS)
• Falsificação de Pedidos Entre Sites (CSRF)
• Ataque Distribuído de Negação de Serviço (DDoS)
• Injeção SQL
• Segurança de Aplicações Web
• Proteção de Aplicações Web e API (WAAP)

Leitura complementar

• Foco em Ameaças: Como os atacantes estão a direcionar-se às suas aplicações web neste momento
• Foco de Ameaça: Aplicações web sob ameaça ativa de bugs Shellshock de 10 anos e mineradores
• Ameaça em Destaque: Como o tráfego de bots maliciosos está a mudar
• Sombras, zombies e a API aberta da Twilio
• Blog dos Projetos de Segurança OWASP da Barracuda
• Dell: 49 milhões de registos de clientes expostos num ataque automatizado
• Site OWASP

Como a Barracuda pode ajudar

A Barracuda oferece proteção completa de aplicações e a plataforma de cibersegurança mais abrangente da indústria que defende todos os vetores de ataque com inteligência de ameaças em tempo real e resposta a incidentes. A Barracuda oferece soluções com o melhor valor, ricas em funcionalidades e completas que protegem contra uma ampla gama de vetores de ameaça e são apoiadas por um serviço ao cliente completo e premiado. Porque está a trabalhar com um único fornecedor, beneficia de uma complexidade reduzida, eficácia aumentada e menor custo total de propriedade. Centenas de milhares de clientes em todo o mundo confiam na Barracuda para proteger os seus e-mails, redes, aplicações e dados.