показывает, насколько сообщество заинтересовано в Топ-10 OWASP и насколько
важно для OWASP сделать Топ-10 актуальным для большинства сценариев использования.
Несмотря на то, что первоначальная цель проекта Топ-10 OWASP заключалась в простом привлечении внимания
разработчиков и менеджеров к проблемам безопасности, проект де-факто стал стандартом безопасности
приложений.
В этом выпуске проблемы и рекомендации по их устранению описаны кратко и в доступной форме для облегчения
внедрения Топ-10 OWASP в программы обеспечения безопасности приложений. Крупным и
высокопроизводительным организациям, которым требуется настоящий стандарт, мы рекомендуем использовать
Стандарт подтверждения безопасности приложений OWASP (ASVS), но для большинства, при обеспечении
безопасности приложений, будет достаточно Топ-10 OWASP.
Мы также составили перечни рекомендуемых шагов для разных категорий пользователей Топ-10 OWASP, такие как
Что делать разработчикам, Что делать тестировщикам, Что делать организациям (для директоров по
информационным технологиям и директоров по информационной безопасности), а также Что делать менеджерам
приложений (для менеджеров приложений или лиц, ответственных за жизненный цикл приложений).
В конечном счете, мы призываем все команды и организации, занимающиеся разработкой ПО, создать программу
обеспечения безопасности приложений, которая будет соответствовать их культурному и технологическому уровню.
Эти программы могут быть представлены в любой форме и объеме. Для оценки и улучшения существующей
программы обеспечения безопасности приложений в вашей организации вы можете использовать Модель
обеспечения безопасности ПО (SAMM).
Надеемся, что Топ-10 OWASP окажется полезным при обеспечении безопасности ваших приложений. Все вопросы,
комментарии и идеи вы можете оставлять в нашем проектном репозитории на GitHub:
• https://github.com/OWASP/Top10/issues
Топ-10 OWASP и переводы можно найти здесь:
• https://www.owasp.org/index.php/top10
Наконец, мы хотим поблагодарить основателей проекта Топ-10 OWASP, Дейва Вичерса (Dave Wichers) и Джеффа
Вильямса (Jeff Williams), за их вклад и веру в успешное завершение данного документа стараниями сообщества.
Большое вам спасибо!
• Эндрю ван дер Сток (Andrew van der Stock)
• Брайан Глас (Brian Glas)
• Нейл Смитлайн (Neil Smithline)
• Торстен Гиглер (Torsten Gigler)
Поддержка проекта
Благодарим компанию Autodesk за спонсорскую поддержку Топ-10 OWASP 2017.Организации и отдельные лица, предоставившие
данные по преобладающим уязвимостям или оказавшие иное содействие при создании списка, перечислены на странице
"Благодарности".
В
3
Введение
Представляем Топ-10 OWASP 2017!
Это крупное обновление включает в себя несколько новых категорий угроз, две из которых были выбраны сообществом
(A8:2017-Небезопасная десериализация и A10:2017-Недостатки журналирования и мониторинга). Два ключевых отличия
подготовки данной версии Топ-10 OWASP заключаются в активной обратной связи сообщества и внушительном объеме
данных, полученном от десятков организаций, возможно, самом большом из когда-либо собранных при подготовке
стандарта по обеспечению безопасности приложений. Все это дает нам уверенность в том, что новая версия Топ-10
OWASP посвящена самым актуальным проблемам безопасности приложений, с которыми сталкиваются организации в
настоящее время.
Топ-10 OWASP 2017 основан главным образом на 40+ комплектах данных, полученных от организаций, которые
специализируются на безопасности приложений, а также на отраслевых исследованиях, проведенных более 500
независимыми исследователями. Данные содержат информацию об уязвимостях, обнаруженных в сотнях организаций и
более 100.000 реальных приложений и API. На основе данных о распространенности, простоте эксплуатации и сложности
обнаружения уязвимостей, а также ущербе, который они могут нанести, составляется список Топ-10.
Основной целью Топ-10 OWASP является ознакомление разработчиков, проектировщиков, архитекторов, менеджеров и
организаций в целом с рисками, связанными с наиболее распространенными и существенными недостатками в
безопасности веб-приложений. Топ-10 также предлагает базовые способы защиты от подобных рисков и руководства по
дальнейшим действиям.
Дорожная карта дальнейших действий
Источники
Не останавливайтесь на 10. Существуют сотни угроз, которые
могут повлиять на безопасность веб-приложений. Этой теме
посвящены Руководство разработчика OWASP и Памятки OWASP.
Данные документы рекомендуются для прочтения всем
разработчикам веб-приложений и API. Инструкции по
эффективному обнаружению уязвимостей в веб-приложениях и
API представлены в Руководстве OWASP по тестированию.
Мы благодарны организациям, которые предоставили
информацию об уязвимостях для выпуска обновления 2017. На
призыв о сборе данных мы получили более 40 откликов.
Впервые все данные, собранные для выпуска Топ-10, а также
полный список участников проекта доступен
Последние комментарии
53 минут 23 секунд назад
55 минут 23 секунд назад
1 час 4 минут назад
1 час 23 минут назад
2 часов 3 минут назад
10 часов 33 минут назад