随着Web2.0的发展,Web应用程序已成为目前互联网上的主要应用。同时Web应用程序的漏洞正在以令人吃惊的速度增长。截至2008年,影响Web应用程序的漏洞数已占当年发现的总漏洞数的54%,并成为当年漏洞数量增长的主要因子。而随着Web应用程序的功能增强和结构的复杂化,维持Web应用程序的安全也变得越来越困难。
最近安全领域知名公司Kaspersky和BitDefender的Web主页也相继被黑客利用SQL注入技术攻破。Web应用的安全问题已经到了一个非常严峻的地步。本期介绍的组织就是致力于Web应用安全研究的开放Web应用安全项目(The Open Web Application Security Project,后文简称OWASP)。
OWASP在2004年于美国成立,是一个全球性的开源的和开放的社区,其目的是提升Web应用软件的安全性。OWASP的口号是“让应用安全看得见”,这样人们和组织对应用安全风险才能有正确的评估。
开源和开放的组织
OWASP的开放和开源体现在它的会员制度和资源发布上:在会员制度上,OWASP对于个人加入是完全自由的,任何对Web安全感兴趣的人都可以免费加入OWASP;在资源上,OWASP所有的文档、代码、工具都在开源版权下发布。OWASP的运行和财政由同期成立的非营利性慈善组织OWASP基金会支持。
OWASP的组织包括中央委员会和各地分会。中央委员会决定了OWASP的发展方向以及开展的项目,各地分会则为各地有兴趣研究Web应用安全的人提供交流和教学的平台,目前OWASP在全球共有130多个分会。
作为一个开源和开放的组织,OWASP所有委员会的成员都是志愿者,利用业余时间为OWASP进行工作。OWASP中央委员会分为两级,位于顶级的全局委员会(Global Committee)和6个专门子委员会。全局委员会负责维护OWASP的发展路线,使之始终围绕着“让应用安全看得见”这个目标。6个子委员会分别管理教育、会议、工业、项目与工具、成员和分会。
教育子委员会和大学合作开展关于Web应用安全的教育计划,提高人们对Web安全的认知度;同时教育子委员会还要争取科研基金来支撑OWASP的研究项目。会议子委员会负责安排和宣传OWASP全年在各地举行的会议,会议的收入也是OWASP进行项目研究和日常运行的主要费用来源。工业子委员会负责和各种关系国计民生的基础产业如农业、电力、交通、医疗等进行联系,因为这些产业也正在并越来越多地使用着互联网上的Web应用,通过和这些产业的信息部门负责人的合作,研究该产业专门的Web安全问题,从而实现更好的Web应用安全性。项目和工具子委员会负责监督OWASP下各个项目和工具的开发进展状态,并为一些战略性项目制定开发的长期计划。成员分会则致力于通过宣传拓展成员的数目,力争实现每18个月翻一番的目标。分会子委员会为各地分会开展活动提供必要资源。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。