随着Web2.0的发展，Web应用程序已成为目前互联网上的主要应用。同时Web应用程序的漏洞正在以令人吃惊的速度增长。截至2008年，影响Web应用程序的漏洞数已占当年发现的总漏洞数的54%，并成为当年漏洞数量增长的主要因子。而随着Web应用程序的功能增强和结构的复杂化，维持Web应用程序的安全也变得越来越困难。

　　最近安全领域知名公司Kaspersky和BitDefender的Web主页也相继被黑客利用SQL注入技术攻破。Web应用的安全问题已经到了一个非常严峻的地步。本期介绍的组织就是致力于Web应用安全研究的开放Web应用安全项目(The Open Web Application Security Project，后文简称OWASP)。

　　OWASP在2004年于美国成立，是一个全球性的开源的和开放的社区，其目的是提升Web应用软件的安全性。OWASP的口号是“让应用安全看得见”，这样人们和组织对应用安全风险才能有正确的评估。

　　开源和开放的组织

　　OWASP的开放和开源体现在它的会员制度和资源发布上：在会员制度上，OWASP对于个人加入是完全自由的，任何对Web安全感兴趣的人都可以免费加入OWASP；在资源上，OWASP所有的文档、代码、工具都在开源版权下发布。OWASP的运行和财政由同期成立的非营利性慈善组织OWASP基金会支持。

　　OWASP的组织包括中央委员会和各地分会。中央委员会决定了OWASP的发展方向以及开展的项目，各地分会则为各地有兴趣研究Web应用安全的人提供交流和教学的平台，目前OWASP在全球共有130多个分会。

　　作为一个开源和开放的组织，OWASP所有委员会的成员都是志愿者，利用业余时间为OWASP进行工作。OWASP中央委员会分为两级，位于顶级的全局委员会(Global Committee)和6个专门子委员会。全局委员会负责维护OWASP的发展路线，使之始终围绕着“让应用安全看得见”这个目标。6个子委员会分别管理教育、会议、工业、项目与工具、成员和分会。

　　教育子委员会和大学合作开展关于Web应用安全的教育计划，提高人们对Web安全的认知度；同时教育子委员会还要争取科研基金来支撑OWASP的研究项目。会议子委员会负责安排和宣传OWASP全年在各地举行的会议，会议的收入也是OWASP进行项目研究和日常运行的主要费用来源。工业子委员会负责和各种关系国计民生的基础产业如农业、电力、交通、医疗等进行联系，因为这些产业也正在并越来越多地使用着互联网上的Web应用，通过和这些产业的信息部门负责人的合作，研究该产业专门的Web安全问题，从而实现更好的Web应用安全性。项目和工具子委员会负责监督OWASP下各个项目和工具的开发进展状态，并为一些战略性项目制定开发的长期计划。成员分会则致力于通过宣传拓展成员的数目，力争实现每18个月翻一番的目标。分会子委员会为各地分会开展活动提供必要资源。