Definition Open Web Application Security Project (OWASP)

Was ist OWASP?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Das Open Web Application Security Project (OWASP) ist ein Open-Source-Projekt für mehr Sicherheit in Anwendungen und Services des World Wide Webs.
Das Open Web Application Security Project (OWASP) ist ein Open-Source-Projekt für mehr Sicherheit in Anwendungen und Services des World Wide Webs. (Bild: OWASP)

Das Open Web Application Security Project, kurz OWASP, ist eine Non-Profit-Organisation, die zum Ziel hat, für mehr Sicherheit in Anwendungen und Diensten des World Wide Webs zu sorgen. Die Arbeit des weltweit in sogenannten Chaptern organisierten Projekts ist in die beiden Hauptkategorien Entwicklungs- und Dokumentationsprojekte aufgeteilt.

Die Abkürzung OWASP bedeutet Open Web Application Security Project und steht für eine Organisation von Experten, die sich mit der Sicherheit von Webanwendungen und -services beschäftigt. Die Non-Profit-Organisation steht allen am Thema Sicherheit von Webanwendungen Interessierten offen und organisiert sich in sogenannten Chaptern. Die deutsche Vertretung ist das German Chapter.

Die OWASP-Community weist auf Sicherheitsrisiken hin und schafft dadurch Transparenz für Endanwender oder Organisationen hinsichtlich Websecurity. Mitglieder der Community sind Unternehmen, Bildungseinrichtungen und Einzelpersonenen aus aller Welt. Die Arbeit des Open Web Application Security Projects ist in die Bereiche Entwicklungs- und Dokumentationsprojekte unterteilt. Ergebnisse werden in Form von Dokumentationen, Informationsmaterialien, Vorgaben, Empfehlungen und Hilfsmitteln bereitgestellt. Eine bekannte Veröffentlichung ist die jährlich zusammengestellte Top 10 Liste der häufigsten Angriffe und größten Risiken im Bereich Webapplikationen.

Sicherheit für Web­an­wen­dungen mit Zed Attack Proxy

Tool-Tipp: OWASP Zed Attack Proxy (ZAP)

Sicherheit für Web­an­wen­dungen mit Zed Attack Proxy

10.07.18 - Administratoren oder Entwickler, die Webanwendungen betreiben, kämpfen ständig mit Sicherheitslücken. Das Open-Source-Tool „Zed Attack Proxy“ (ZAP) gehört zum „Open Web Application Security Project“ (OWASP) und ermöglicht automatisiert Web-Apps auf Sicherheitslücken zu überprüfen und Angriffe durchzuführen. lesen

Die Ziele des Open Web Application Security Projects

Die Ziele Open Web Application Security Projects sind kurz zusammengefasst folgende:

  • die Sicherheit von Webanwendungen verbessern
  • auf Risiken für Webanwendungen hinweisen
  • mehr Transparenz zum Thema Sicherheit schaffen
  • Informationen, Dokumentationen, Tools und Lösungen bereitstellen
  • Unterstützung von Entwicklern, Entscheidern, QA-Spezialisten und Penetrationstestern

Organisationsform und Arbeitsweise des Open Web Application Security Projects

Das Open Web Application Security Project ist als offene, unabhängige und weltweit agierende Community organisiert. Sämtliche bereitgestellten Dokumente und Hilfsmittel sind unter freier Lizenz für jeden Interessierten verfügbar. Mitglieder sind Firmen, Einzelpersonen und Lehreinrichtungen. Auf Unabhängigkeit gegenüber Technologiefirmen und Herstellern wird geachtet. Die Werte des Projekts sind:

  • Offenheit
  • innovatives, weltweites Arbeiten
  • Integrität

Die Organisation ist unterteilt in Board, Chapter und Mitglieder. Chapter sind lokale Organisationseinheiten, die jeder überall einrichten kann. Die Grundlagen hierfür sind im Chapter-Handbuch beschrieben. In vielen deutschen Großstädten finden regelmäßig OWASP-Stammtische statt. Das Open Web Application Security Project selbst hat nur sehr wenige Angestellte und deckt seine Ausgaben durch Sponsoring, Konferenzen oder Werbebanner.

Der Top 10 Report des Open Web Application Security Projects

Seit 2003 veröffentlicht die OWASP jährlich einen Top 10 Report. Er zeigt die zehn wichtigsten Risiken und Angriffsarten im Bereich Webanwendungen. Ziel des Reports ist es, die Aufmerksamkeit auf die bekanntesten Schwachstellen im Webumfeld zu lenken. Sicherheitsexperten, Softwareentwickler, Projektmanager und Softwarearchitekten nutzen den Report für ihre Arbeit.

Weitere Arbeiten des Open Web Application Security Projects sind der OWASP Developer Guide, der OWASP Testing Guide, der OWASP Code Review Guide oder auch der OWASP Zed Attack Proxy (ZAP).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Automated Layered Security mit dem Capture Security Center von SonicWall

Security-Insider Deep Dive

Automated Layered Security mit dem Capture Security Center von SonicWall

Das Capture Security Center (CSC) ist eine cloudbasierte, zentrale Management-Suite, mit der alle Einzelkonsolen des SonicWall-Ökosystems zentral gesteuert werden können. Stephan Kaiser, Systems Engineer bei SonicWall, zeigt uns im Deep Dive, wie man sich als MSP oder Anwenderunternehmen innerhalb der zur Verfügung stehenden Module bewegt und was diese leisten. lesen

8 Tipps für DevSecOps und Continuous Testing

Sichere Web-Applikationen trotz agiler Entwicklung

8 Tipps für DevSecOps und Continuous Testing

Das Tempo und die Agilität, die mit DevOps einhergehen, können sich nachteilig auf die Sicherheit auswirken. Eine Abhilfe verspricht DevSecOps durch die Integration kontinuierlicher Sicherheitsprozesse. Janosch Maier, Co-Founder von Crashtest-Security, hat acht Tipps für entsprechende Strategien parat. lesen

Bedrohungsanalyse in Produktionsnetzwerken

IT-Security-Management

Bedrohungsanalyse in Produktionsnetzwerken

Soll ein IT-Security-Management in der Produktion aufgebaut werden, gilt es die Bedrohungen und Risiken zu bewerten sowie wirtschaftliche Gegenmaßnahmen zu ergreifen. lesen

Software Security Testing nach OWASP

Sicherheit über den Development Lifecycle hinweg

Software Security Testing nach OWASP

Sicherheitstests sind in der Welt der Softwaretests eine eigene Disziplin. Für das Web Application Testing stellt das OWASP ein anerkanntes Rahmenwerk bereit, das beim Aufbau einer unternehmensweiten Testkultur sowie ganz konkreter Prozesse helfen kann. lesen

Security by Design Principles des OWASP

Sichere Software in 10 Schritten

Security by Design Principles des OWASP

Sicherheit wird in der Software-Entwicklung wird vermehrt mit Security by Design in Verbindung gebracht. Das Open Web Application Security Project, kurz OWASP, hat hierzu zehn wichtige Grundsätze erfasst. lesen

IAST – die Zukunft der Anwendungstests?

Interactive Application Security Testing

IAST – die Zukunft der Anwendungstests?

Interactive Application Security Testing, kurz IAST, bietet erhebliche Vorteile gegenüber einigen anderen Testmethoden. Warum das Softwaresicherheits-Toolkit ohne IAST nicht vollständig ist, soll dieser Beitrag beleuchten. lesen

Konzeption und Planung eines SSDL nach BSI

Secure Software Development Lifecycle, Teil 2

Konzeption und Planung eines SSDL nach BSI

Hier stellen wir das Konzept des sicheren Softwareentwicklungs-Lebenszyklus nach BSI in der zweiten Phase, sprich Konzeption und Planung vor. In der ersten Phase, die wir bereits kennengelernt haben, ging es nämlich nur darum, die Rahmenbedingungen festzulegen. lesen

Umsetzung eines SSDL nach BSI-Empfehlung

Secure Software Development Lifecycle, Teil 1

Umsetzung eines SSDL nach BSI-Empfehlung

Ein Secure Software Development Lifecycle, kurz SSDL, setzt einen kompletten Sicherheitsprozess über die eigentliche Software-Entwicklung und sollte in keinem Unternehmen fehlen. Einerseits, um teure Behebung von Sicherheitslücken zu verhindern, andererseits weil es von vielen Auftraggebern schlicht erwartet wird. lesen

CVE & Co. für Einsteiger

Common Vulnerabilities and Exposures (CVE)

CVE & Co. für Einsteiger

Sicherheitslücken stellen seit Jahren eine gewaltige Bedrohung für die Sicherheit von IT-Systemen dar. Damit Sicherheitsexperten, Entwickler und Anwender weltweit gemeinsam an der Beseitigung von Sicherheitslücken arbeiten können bedarf es eines einheitlichen Schemas zur Identifikation der Schwachstellen. Das Common Vulnerabilities and Exposures (CVE) bildet dazu seit 1999 einen unverzicht­baren Industriestandard. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45446741 / Definitionen)