Pensar em segurança de aplicaçoes é essencial durante todo o ciclo de desenvolvimento de software. E quando se trata de segurança, não há como deixar de mencionar a OWASP.
A OWASP (Open Worldwide Application Security Project) é uma comunidade internacional sem fins lucrativos cuja missão é apoiar as organizações a melhorar a segurança de suas aplicações. Com esse propósito, ela fornece gratuitamente uma variedade de recursos, como artigos, metodologias, documentações, ferramentas e tecnologias relacionadas à segurança de software
A abordagem da OWASP é baseada na ideia de que a segurança de aplicações é um problema que envolve pessoas, processos e tecnologias. Para disseminar essa ideia, ela realiza diversos projetos open source, administra mais de 250 capítulos locais (grupos representativos locais da OWASP) em diversos países, conferências educacionais e treinamentos em segurança.
Um dos recursos mais conhecidos é o OWASP Top 10, um documento de conscientização que lista os dez principais riscos de segurança em aplicações web. Essa lista é atualizada regularmente com base em análises de dados e feedback da comunidade. Hoje em dia, existem diversas listas “Top 10” produzidas pela organização, com diferentes focos, como API, Mobile, CI/CD, containers e entre outros.
Em resumo, a OWASP é uma grande comunidade internacional que se propõe a disseminar e conscientizar sobre AppSec em todas as organizações, sejam elas privadas, públicas ou do terceiro setor, oferecendo recursos gratuitos e abertos para profissionais técnicos responsáveis pelo desenvolvimento de software.
Desde a sua fundação em 2001, a organização vem crescendo e se consolidando como uma referência global no desenvolvimento e melhoria da segurança de software. Alguns marcos importantes da história da organização:
O funcionamento da OWASP é baseado em uma comunidade global de especialistas em segurança web. Esses especialistas compartilham seu conhecimento e experiência em relação a vulnerabilidades, ameaças, ataques e contramedidas existentes.
O objetivo principal é reunir informações relevantes e cruciais que permitam a avaliação dos riscos de segurança e a adoção de medidas eficientes para combatê-los. Dessa forma, a OWASP se baseia na colaboração e na expertise coletiva para fortalecer a segurança de aplicações web.
O projeto OWASP SAMM (Software Assurance Maturity Model) visa ajudar as organizações a analisar e melhorar sua postura de segurança de aplicações. É um framework que a organização pode usar para avaliar a si mesma e identificar áreas em que poderia melhorar. Uma característica importante do SAMM é sua independência de tecnologia e processo, permitindo que seja aplicado a diferentes ambientes e contextos.
Portanto, o principal objetivo do SAMM é estabelecer um modelo de maturidade em três níveis para cada prática de segurança, levando em consideração os riscos associados. Essa abordagem permite que as organizações avaliem suas práticas de segurança de software existentes e identifiquem áreas de melhoria.
Na Conviso, possuímos uma série de artigos sobre o OWASP SAMM que tem como objetivo detalhar cada uma das práticas servindo de referência para estudantes e profissionais que desejam se desenvolver em práticas de segurança de aplicações, confire a série.
A OWASP é muito famosa pelo OWASP Top 10 para aplicações web, mas existem várias outras listas além dessa. Aqui estão algumas das listas organizadas pela OWASP:
OWASP Web Application Top 10
Já citada anteriormente, essa lista é atualizada periodicamente para refletir as ameaças e vulnerabilidades mais relevantes no ambiente de desenvolvimento web.
Voltada para aplicações que fazem uso intensivo de APIs para o fluxo de dados ou que utilizam APIs como interface para os dados da aplicação. Ela aborda as principais vulnerabilidades relacionadas à segurança de APIs, como problemas de autenticação, autorização, exposição excessiva de dados e configuração inadequada.
Essa lista, iniciada em 2015 e atualizada desde então, se concentra nas vulnerabilidades específicas de aplicativos móveis. Ela aborda preocupações relacionadas ao armazenamento inseguro de dados, comunicação insegura e outras vulnerabilidades específicas encontradas nesses softwares.
Essa é uma lista recente da OWASP. Ela se concentra nas vulnerabilidades que podem afetar os servidores e as aplicações baseadas na infraestrutura do Kubernetes.
OWASP Proactive Controls Top 10
Esse documento se concentra na arquitetura e no design de segurança de aplicaçõesm oferecendo orientações sobre as melhores práticas para desenvolver aplicações seguras desde o início. Os controles proativos ajudam os desenvolvedores a aplicar técnicas de segurança em projetos de software, visando evitar vulnerabilidades comuns.
OWASP Large Language Model Applications (LLMs) Top 10
O projeto fornece uma lista das 10 vulnerabilidades mais críticas frequentemente vistas em aplicações LLM, destacando seu impacto potencial, facilidade de exploração e prevalência em aplicações reais.
OWASP CI/CD Security Risks Top 10
Este documento ajuda a identificar áreas de foco para a proteção do ecossistema de CI/CD.
Oferece dez marcadores para planejar e implementar um ambiente de contêiner seguro baseado em docker.
O guia fornece informações sobre quais são os riscos de segurança mais importantes para essas aplicações, os desafios envolvidos e como superá-los.
A OWASP é reconhecida por sua lista dos Top 10, mas ela vai além, oferecendo uma ampla gama de projetos. Existem, assim, diversos projetos que abrangem diferentes aspectos da segurança de aplicações nas organizações:
O Amass é uma ferramenta que permite a enumeração e análise detalhada do sistema de nomes de domínio, auxiliando na descoberta de ativos externos e na análise da superfície de ataque.
O Application Security Verification Standard é uma estrutura para testar os controles de segurança de aplicações web e estabelecer requisitos para o desenvolvimento seguro.
A Cheat Sheet Series oferece um conjunto de guias de boas práticas de segurança para o desenvolvimento de software.
O CSRFGuard é uma biblioteca que implementa padrões para minimizar o risco de ataques de falsificação de solicitação entre sites (CSRF).
O CycloneDX é um padrão para análise de componentes e segurança na cadeia de suprimentos.
Outros projetos notáveis incluem o Defectdojo, uma ferramenta de gerenciamento de vulnerabilidades; o Dependency-Check, que verifica dependências em busca de vulnerabilidades; e o Dependency-Track, uma plataforma de análise de componentes que identifica riscos na cadeia de suprimentos de software.
A OWASP também oferece o Juice Shop, um exemplo de aplicação web com todas as vulnerabilidades listadas na lista Top 10, utilizado para testes de penetração e treinamento em segurança. Além disso, há o Mobile Security Testing Guide, um conjunto de padrões para testes de segurança em aplicações mobile, e o ModSecurity Core Rule Set, um conjunto de regras de detecção de ataques para firewalls de aplicações web.
Outros projetos relevantes incluem o Offensive Web Testing Framework, um framework para pentest; o Security Knowledge Framework, que aborda princípios de codificação segura em várias linguagens de programação; o Security Shepherd, uma plataforma de treinamento em segurança para aplicações web e móveis; o Web Security Testing Guide, um guia abrangente para testes de segurança; e o Zed Attack Proxy, um scanner de aplicações web usado para pentest e treinamento.
Esses são apenas alguns exemplos dos mais de 250 projetos da OWASP. Com essa ampla variedade de recursos e ferramentas, a OWASP se mostra como a principal referência e suporte para a comunidade de desenvolvedores e profissionais de segurança.
Existem várias formas de contribuir com a OWASP e apoiar seus esforços em melhorar a segurança de aplicações no mundo. Aqui estão algumas maneiras de contribuir:
Doações: Você pode fazer uma doação por meio do site oficial. Sua contribuição financeira ajudará a financiar as atividades da organização em todo o mundo.
Contribuição de conteúdo: A OWASP aceita contribuições da comunidade para a criação e edição de ferramentas, guias, padrões e outros conteúdos comunitários. Você pode contribuir por meio do repositório do site da OWASP no GitHub.
Participação em eventos: Você pode participar ou até mesmo organizar eventos, palestras, cursos e workshops sobre segurança de aplicações web em sua região ou online. Você pode se juntar a um dos capítulos da OWASP existentes ou, caso não haja um em sua área, considerar a criação de um novo.
Ao contribuir com a OWASP, você estará se juntando a uma comunidade global dedicada a promover a segurança de aplicações!
A Conviso, como uma referência em AppSec, tem a OWASP como uma de suas principais fontes de referência. Desde 2008, quando o CEO da Conviso, Wagner Elias, fundou o Capítulo OWASP no Brasil, a empresa tem utilizado os recursos e diretrizes fornecidos pela OWASP para impulsionar suas soluções e serviços na área.
Além disso, a Conviso Platform se destaca por sua abordagem centrada na experiência do desenvolvedor (dev-first), contribuindo para a transformação cultural em direção ao DevSecOps, simplificando a implementação de processos de segurança para toda a organização.
A Conviso oferece também uma ampla gama de treinamentos em AppSec, que contribui com uma transformação cultural nas equipes de desenvolvimento. Essas capacitações possuem a OWASP como uma de suas principais referências.