Organizzazioni standard di Appsec?

3

Sono uno sviluppatore Java EE e mi chiedevo se qualcuno avesse avuto esperienza con il Progetto OWASP e potessi valutare come si misura come un'organizzazione di standard di sicurezza. Hanno un enorme sito web con moltitudini di documenti, sotto-progetti, framework / API, ecc., E voglio solo essere sicuro che siano ben considerati prima di iniziare il percorso di apprendimento a partire da zero. . Non vorrei passare le prossime due settimane a investire tempo e tempo energia in questo gruppo solo per scoprire che non sono credibili per qualsiasi motivo.

Ci sono anche altri enti di progetto che sono anche open source e che dovrei prendere in considerazione?

    
posta zharvey 21.09.2011 - 19:57
fonte

2 risposte

4

Lo stesso OWASP ha un gran numero di progetti, alcuni con maggiore maturità rispetto ad altri. Come organizzazione OWASP ha iniziative chiave che sono state accettate a livello globale, quindi non saresti da solo nella scelta di saperne di più.

Il mio mercato principale include banche globali e altre organizzazioni di servizi finanziari, oltre ad altri settori come petrolio e gas e, a parte standard come PCI-DSS, ISO 27001 ecc., lo standard de-facto in tutto il web I team di sicurezza sono OWASP Top Ten.

ESAPI è anche ampiamente utilizzato nello spazio di sicurezza IT, insieme ad altri.

    
risposta data 21.09.2011 - 21:35
fonte
1

Gli "standard" ufficiali sono in gran parte indipendenti dai veri bug e si concentrano invece sul "processo" per gestire i bug. Ad esempio, generalmente non menzionano qualcosa di specifico come "SQL injection".

OWASP è il contrario. Riguarda i 10 problemi più comuni della Top 10, ma si accendono i processi che potresti utilizzare per risolverli.

Certamente, c'è una notevole sovrapposizione, ma questa è l'idea generale.

    
risposta data 22.09.2011 - 01:40
fonte

Leggi altre domande sui tag