open project
开放Web应用程序安全项目(OWASP)是一个非营利性慈善组织,致力于改善软件安全性。 OWASP遵循开源软件的原则,特别是社区是创造和贡献的力量这一理念。 这里的独特之处在于OWASP不是软件,而是社区创建的一组准则,以帮助开发人员在其代码中插入安全漏洞。
安全性最近已成为软件开发中非常重要的方面,但是并不是每个人都知道编写安全代码的方法。 您可能会认为,“我的开发人员团队经验丰富/技能娴熟/效率高,他们可以编写100%安全的代码。”但是,如果您跟踪新闻,您会发现甚至是大型网站也经常被关闭或用户数据遭到破坏。 遵循OWASP的这些准则,您的网站应做好充分的准备,避免此类攻击。
例如:Jim是一名开发软件工具的开发人员,该工具可以使人们节省其日常工作并跟踪其健身状况。 当然,此应用程序具有登录/注册机制以及用于保存用户详细信息的数据库以及其他功能。 随着截止日期的临近,Jim几乎没有时间去关心代码的安全性,并且他完成了功能。 后来,在内部安全审查期间(或更糟的是在生产阶段),发现了几个漏洞。 吉姆不得不首当其冲,但他应该受到责备吗?
软件开发已发展到广阔的领域,加上截止日期越来越短,这是产生易于受到安全攻击的代码的完美风暴。 甚至开发人员方面的其他诸如无知或懒惰的因素也会引入安全漏洞。 尽管关于不断增长的软件领域的规模或缩短的最后期限几乎没有什么可做的,但是可以训练开发人员根据OWASP准则编写固有的安全代码。
开发人员,安全分析人员和其他人员可以使用OWASP准则,同时将知识贡献回准则。 怎么样?
OWASP的4种使用方式
备忘单包含与特定功能相关的高质量,简洁数据。 您花费更少的时间来寻找答案,而花费更多的时间来理解它们。
假设您正在为网站开发“忘记密码”功能,并且想知道应该遵循哪些准则。 在OWASP网站上的“备忘单”部分中,查找“忘记密码备忘单”。
查找有关软件开发的全面信息,从“基础”和“体系结构”到“配置”和“操作”。
开发人员指南是2002年开始的原始OWASP项目。
这是网站上的视频教程部分,旨在以易于消化的格式提供更复杂的信息。 视频的长度通常为5 --- 10分钟,并基于安全性概念,工具或方法。
像开发人员指南一样,也有测试人员指南,其目的是培训测试人员如何在软件的安全关键区域中查找错误。
翻译自: https://opensource.com/business/14/5/new-guidelines-writing-secure-code
open project