OWASP ist ein Begriff, der häufig im Bereich der IT-Sicherheit zu finden ist. Einige Wissen nicht, was sich hinter dem Begriff OWASP tatsächlich befindet. Es handelt sich um eine Organisation, die es zum Ziel hat, für mehr Sicherheit in Anwendungen und Diensten im Internet zu sorgen.
OWASP – Open Web Application Security Project
Hinter der Abkürzung OWASP steckt der Begriff Open Web Application Security Project. Dieses Security Project besteht aus einer Non-Profit-Organisation, die für mehr Sicherheit im Internet sorgen möchte. Die Organisation ist weltweit vertreten und ist in verschiedene nationale Chapter aufgeteilt. Viele solcher Chapter veranstalten OWASP-Stammtische, oder andere Formen von Veranstaltungen. Informationen zu dem OWASP German Chapter können auf GitHub sowie auf der Webseite der Hauptorganisation gefunden werden.
Die Organisation wurde bereits am 01. Dezember 2001 gegründet und ist seit dem 21. April 2004 eine eingetragene gemeinnützige Organisation der Vereinigten Staaten. Die Organisation hat für Ihre Reichweite und Anzahl an Projekten nur sehr wenige Angestellte. Diese werden komplett aus Sponsoring, Konferenzen oder Werbebanner bezahlt.
Bei jeglichen Projekten, die mit OWASP zusammenhängen, sollen einige “Core Values” (übersetzt: “Grundwerte”) befolgt werden, die sichtbar auf der Webseite der Organisation genannt werden:
- Offen: Alles bei OWASP ist grundlegend transparent, von unseren Finanzen bis hin zu unserem Code
- Innovativ: Wir ermutigen und unterstützen Innovationen und Experimente für Lösungen von Software-Sicherheits-Herausforderungen
- Global: Jeder auf der ganzen Welt wird ermutigt, sich an der OWASP-Community zu beteiligen
- Integrität: Unsere Gemeinschaft ist respektvoll, unterstützend, wahrheitsgemäß und herstellerneutral
Bekannte Projekte und Veröffentlichungen
Wie bereits erwähnt stolpert man schnell über den Begriff OWASP, wenn man sich intensiver mit der IT-Sicherheit beschäftigt und vor allem der Sicherheit von Webanwendugnen. Eine der bekanntesten Veröffentlichungen von OWASP ist der Top 10 Report, der jährlich veröffentlicht wird und die zehn wichtigsten Risiken und Angriffsarten im Bereich von Webanwendungen zeigt.
Nach diesem Report werden viele Penetrationstest durchgeführt bzw. die gefundenen Sicherheitslücken kategorisiert. Grundsätzlich wird die Arbeit von OWASP in zwei Kategorien aufgeteilt, die Entwicklungsprojekte sowie die Dokumentationsprojekte. Ein sehr bekanntes Entwicklungsprojekt ist der OWASP Juice Shop, der eine Testumgebung darstellt, indem absichtlich viele Sicherheitslücken implementiert sind. Diese Testumgebung erwähnen wir häufig, wenn wir die Frage gestellt bekommen, wie man seine Fähigkeiten als Penetrationstester entwickeln bzw. verbessern kann.
Wer sich mit den Grundwerten von OWASP identifizieren kann und gerne an verschiedensten Projekten mitarbeitet, um so neue Kontakte zu knüpfen und für mehr IT-Sicherheit auf der Welt zu sorgen, kann für 50$ im Jahr Mitglied werden.
Mitglieder in der Non-Profit-Organisation sind bspw. Firmen, Einzelpersonen aber auch Lehreinrichtungen, die Ihre Expertise im Bereich der IT-Sicherheit in verschiedene Projekte mit einbringen möchten.