OWASP
OWASP
設立2001年[ 1 ]
創設者マーク・カーフィー[ 1 ]
タイプ501(c)(3)非営利団体
目的Webセキュリティ、アプリケーションセキュリティ、脆弱性評価
方法業界標準、会議、ワークショップ
メンバーシップ約13,000人のボランティア(2017年)[ 4 ]
主要人物
アンドリュー・ファン・デル・ストック(エグゼクティブディレクター)、ケリー・サンタルシア(イベント・企業サポートディレクター)、ハロルド・ブランケンシップ(テクノロジー・プロジェクトディレクター)、ジェイソン・C・マクドナルド(コミュニティ開発ディレクター)、ドーン・エイトキン(オペレーションマネージャー)、ローレン・トーマス(イベントコーディネーター)[ 2 ]
収益減少230万ドル(2017年)[ 3 ]
Webサイトowasp.org

OWASPOpen Worldwide Application Security Project、旧Open Web Application Security Project)は、IoT、システムソフトウェア、ウェブアプリケーションのセキュリティに関するオープンソースの情報とリソースを公開するオンラインコミュニティです。[ 5 ] OWASP Foundationと呼ばれる非営利団体が主導しています。

歴史

2001年9月9日、Mark Curphey氏がOWASPを設立しました。[ 1 ] Jeff Williams氏は、2003年後半から2011年9月までOWASPのボランティア議長を務めました。2015年現在、Matt Konda氏が理事会の議長を務めています。[ 6 ] 2004年に設立された米国の501(c)(3)非営利団体であるOWASP Foundationは、OWASPのインフラストラクチャとプロジェクトをサポートしています。2011年以来、OWASPは、OWASP Europe VZWという名前でベルギーでも非営利団体として登録されています。[ 7 ] 2023年2月、OWASP Foundation Global Board of DirectorのBil Corry氏[ 8 ]がTwitterで、理事会がOpen Web Application Security Projectから現在の名前に改名し、WebをWorldwideに置き換えることに投票したと報告しました。[ 9 ] 2023年5月、OWASP Gen AIセキュリティプロジェクトが開始され、OWASPトップ10リストの範囲が拡大され、LLMに関連する最も重要なリスクが文書化されました。[ 10 ]

リソース

ツール

  • OWASP ZAP : 侵入テスト ツール。
  • Webgoat: OWASPが安全なプログラミング実践のガイドとして作成した、意図的に安全でないWebアプリケーション。[ 1 ]

出版物

  • OWASPトップ10
  • OWASP 開発ガイド
  • OWASP テストガイド
  • OWASP コードレビューガイド
  • OWASPトップ10インシデント対応ガイダンス[ 19 ]

モデルと標準

  • OWASPソフトウェア保証成熟度モデル[ 20 ]
  • OWASPアプリケーションセキュリティ検証標準(ASVS):アプリケーションレベルのセキュリティ検証を実行するための標準。[ 21 ]

その他のプロジェクト

  • OWASP XMLセキュリティゲートウェイ(XSG)評価基準プロジェクト。[ 22 ]
  • OWASP AppSecパイプライン[ 23 ]
  • OWASP Webアプリケーションに対する自動化された脅威[ 24 ] [ 25 ]
  • OWASP APIセキュリティプロジェクト[ 26 ]
  • OWASP AI成熟度評価プロジェクト(AIMA)[ 27 ]

認定資格

また、いくつかの認証制度も有している。[ 28 ] [ 29 ] [ 30 ]

参照

参考文献

  1. ^ a b c d Huseby , Sverre (2004). Innocent Code: A Security Wake-Up Call for Web Programmers . Wiley. p.  203. ISBN 0470857447
  2. ^ 「OWASP Foundation Staff」 . OWASP. 2023年2月12日. 2022年5月3日閲覧
  3. ^ 「OWASP FOUNDATION INC」 . Nonprofit Explorer . ProPublica . 2013年5月9日. 2020年1月8日閲覧
  4. ^ 「OWASP Foundationの2017年12月期決算報告書Form 990」。2018年10月26日2020年1月8日閲覧– ProPublica Nonprofit Explorer経由。
  5. ^ 「OWASP Internet of Things」 。 2023年12月26日閲覧
  6. ^ "Board" . OWASP . 2017年9月16日時点のオリジナルよりアーカイブ2015年2月27日閲覧。
  7. ^ “OWASP Europe” . OWASP . 2016年4月17日時点のオリジナルよりアーカイブ2024年7月7日閲覧。
  8. ^ “Global Board” . owasp.org . 2024年4月29日時点のオリジナルよりアーカイブ。 2024年7月7日閲覧
  9. ^ Corry, Bil [@bilcorry] (2023年2月25日)。「@owasp についてお気づきかもしれませんが、理事会は「W」を「Web」から「Worldwide」に変更し、「Open Worldwide Application Security Project」とすることを決議しました。」ツイート)。2024年7月7日閲覧。Twitter経由。
  10. ^ 「概要、プロジェクトの背景 - OWASP Gen AIセキュリティプロジェクト」 OWASP GenAIセキュリティプロジェクト. 2026年1月10日閲覧{{cite web}}: CS1 maint: url-status (リンク)
  11. ^ 「OWASP Top Ten」 . owasp.org . 2024年7月6日時点のオリジナルよりアーカイブ2024年7月7日閲覧。
  12. ^ Trevathan, Matt (2015年10月1日). 「モノのインターネットのための7つのベストプラクティス」 . Database and Network Journal . 2015年11月28日時点のオリジナルよりアーカイブ
  13. ^ Crosman, Penny (2015年7月24日). 「銀行のウェブサイトが漏洩し、クリックジャッキングなどの脅威が侵入する」 . American Banker . 2015年11月28日時点のオリジナルよりアーカイブ
  14. ^ Pauli, Darren (2015年12月4日). 「情報セキュリティ担当者がアプリ言語を評価:Javaの王者、PHPはゴミ箱行き」 The Register . 2015年12月4日閲覧
  15. ^ 「OWASPトップ10の脆弱性」 . developerWorks . IBM. 2015年4月20日. 2015年11月28日閲覧
  16. ^ 「Payment Card Industry (PCI) Data Security Standard」(PDF) . PCI Security Standards Council. 2013年11月. p. 55. 2015年12月3日閲覧
  17. ^ 「Open Web Application Security Project Top 10 (OWASP Top 10)」 . ナレッジデータベース. Synopsys . Synopsys, Inc. 2017. 2017年7月20日閲覧. PCIセキュリティ標準協議会、米国国立標準技術研究所 (NIST)、連邦取引委員会 (FTC) など多くの団体が、Webアプリケーションの脆弱性を軽減し、コンプライアンスへの取り組みを満たすための不可欠なガイドとして、OWASP Top 10を定期的に参照しています。
  18. ^ 「認可は依然として最大の課題 – OWASP 2023 トップ10リスト」 Cerbos . 2024年9月2日閲覧
  19. ^ 「OWASP Incident Response Project – OWASP」2019年4月6日時点のオリジナルよりアーカイブ2015年12月12日閲覧。
  20. ^ 「OWASP SAMMとは?」 OWASP SAMM . 2022年11月6日閲覧
  21. ^バール、ハンス;スマルターズ、アンドレ。ヒンツベルゲン、ジュルス。キース、ヒンツバーゲン (2015)。情報セキュリティの基盤 ISO27001およびISO27002(第3版)に準拠。ヴァン・ハーレン。 p. 144.ISBN 9789401800129
  22. ^ 「Category:OWASP XML Security Gateway Evaluation Criteria Project Latest」 . Owasp.org. 2014年11月3日時点のオリジナルよりアーカイブ2014年11月3日閲覧。
  23. ^ 「OWASP AppSec Pipeline」。Open Web Application Security Project (OWASP) 。 2020年1月18日時点のオリジナルよりアーカイブ。 2017年2月26日閲覧
  24. ^ 「Webアプリケーションに対する自動化された脅威」(PDF)。OWASP。2015年7月。
  25. ^ 「OWASP Automated Threats to Web Applications」 . owasp.org . 2024年6月29日時点のオリジナルよりアーカイブ2024年7月7日閲覧。
  26. ^ 「OWASP API セキュリティ プロジェクト – OWASP Foundation 。OWASP
  27. ^ 「OWASP AI成熟度評価プロジェクト – OWASP Foundation 。OWASP
  28. ^ 「qa.com | Certified OWASP Security Fundamentals (QAOWASPF)」 . www.qa.com . 2024年10月25日閲覧
  29. ^ 「A01 アクセス制御の不具合 – OWASP Top 10:2021」 . owasp.org . 2024年10月25日閲覧
  30. ^ 「A02 暗号化の失敗 – OWASP Top 10:2021」 . owasp.org . 2024年10月25日閲覧
「 https://en.wikipedia.org/w/index.php?title=OWASP&oldid=1332309883」から取得