A non-profit Open Web Application Security Project (OWASP) alapítvány a szoftverek biztonságának fejlesztésén dolgozik. 2001. december 1-én indult, és azóta is töretlenül segíti a fejlesztőket ingyenesen elérhető útmutatókkal és segédanyagokkal.
Az anyagok nyíltak, a projekthez szabadon lehet csatlakozni. Több kiemelt témával is foglalkoznak, a fejlesztés több fajtájában is segítséget találunk az oldalaikon.
Az OWASP zászlóshajója az OWASP Top Ten projekt, amiben a webalkalmazásokat érintő legkritikusabb 10 problémára mutatnak rá. Az elmúlt években ez a projekt iparágilag elfogadott közös hivatkozási alappá vált.
A Top Ten nyomdokain fejlődött ki a webalkalmazások vizsgálatához ajánlott, már a 4.1 verziónál tartó Web Security Tesing Guide. Ez a dokumentum etikus hekkereknek nyújt segítséget a webalkalmazások vizsgáltában. Folyamatosan fejlődik a könyv, 2020. április 12-én jelent meg a legfrissebb verzió.
Az OWASP Application Security Verification Standard nem csak biztonsági szakembereknek szól, fejlesztőknek is ajánlott a dokumentum. A hivatalos 4.0.1-es verzió 2019. március 2-án jelent meg, a Githubon is megtalálható változatát folyamatosan fejlesztik. Ami külön érdekessége, hogy az alkalmazásokat három biztonsági szint szerint kategorizálja, és az egyes szintekhez fogalmaz meg ajánlásokat, ezzel is segítve a fejlesztők tájékozódását.
Az OWASP Mobile Security Testing Guide a mobil alkalmazások vizsgálatát segíti. Ez az anyag sem csak a biztonsági szakértőknek szól, segítségével a fejlesztők is könnyen áttekinthetik a biztonságos mobil alkalmazás követelményeit, legyen szó Android, vagy akár iOS alkalmazásról. Sőt, a legtöbb tippel és trükkel ez az anyag szolgál, minden mobil fejlesztőnek kötelező olvasmány!
Mit adott nekünk az OWASP?
Renegeteg vizsgálati és fejlesztési támpontot. Az évek alatt összegyűlt szabadon elérhető tudás nagyon sok alkalmazás biztonságossá tételéhez járult hozzá. Nekünk, hackereknek egy nyílt forráskódú szabványt adott, amelyet általánosan elfogadott az iparág. Hivatkozási alapot hozott létre, megteremtette az alkalmazás biztonság közös nyelvének az alapjait.
A Whiteshield Kft. hackerei az OWASP irányelvei alapján dolgoznak évek óta. A biztonsági vizsgálatok eredményeként létrejövő riportjaink is ezek alapján az elvek alapján készülnek el. A dokumentumban található sérülékenységek leírása közvetlen hivatkozásokkal segíti a fejlesztőket a hibák javításában, mert egy-egy vizsgálat célja nem csak a hibák megtalálása, hanem egyben iránymutatás a hibák javításához is.