Estado do Projeto
& TOP 10
Leonardo Cavallari Militelli
[email protected]
ASDR Project Leader
OWASP
Junho 26, 2008
Copyright © 2007 - The OWASP Foundation
This work is available under the Creative Commons SA 2.5 license
The OWASP Foundation
http://www.owasp.org
Agenda
O que é?
O que oferecem?
Como participar?
Capítulo Brasil
SoC 2008
Principais projetos
OWASP TOP 10
OWASP
2
OWASP
O Que é OWASP?
Open Web Application Security Project
an open community dedicated to enabling
organizations to develop, purchase, and
maintain applications that can be trusted
Promover o desenvolvimento seguro
Auxiliar a tomada de decisão quanto ao risco
Oferecer recursos gratuitos
Promover a contribuição e compartilhamento
de informação
OWASP
4
O Que é OWASP?
Organização sem fins lucrativos
US 501c3
Regida por voluntários
Compartilhar conhecimento
Liderar projetos
Realizar apresentações
Administração
Financiada por patrocinadores
Membership individuais/empresariais
Projetos suportados por empresas
OWASP
5
Organização do OWASP
OWASP
OWASP
Conferences
OWASP Governance
OWASP
Wiki
OWASP
Tools
OWASP
Lists
OWASP
Books
OWASP
Community
OWASP
Chapter
Leaders
OWASP
Project
Leaders
OWASP Foundation
(501c3)
Board of
Directors
(Williams,
Wichers,
Brennan, Cruz,
and
Deleersnyder)
Board of
Advisors
Operation
s Director
(McNamee)
Technical
Director
(Casey)
OWASP
OWASP Comunidade Mundial
Participants
20000
15000
10000
5000
0
Local Chapters
140
120
100
80
60
40
20
0
OWASP
7
OWASP em Números
420.000 page views por mês
230 GB de download por mês
4.618 usúários do wiki
200 atualizações por dia
124 capítulos
16.000 membros nos mailings lists
48 projetos de ferramentas e documentos
100 membros individuais
48 membros corporativos/educacionais
2 employees
OWASP
8
O Que Oferece?
Publicações, artigos e padrões
OWASP Top 10
OWASP Guide
Testing Guide
Softwares de Teste e Treinamento
WebGoat
WebScarab
.NET Projects
Capítulos locais, Listas de discussão e
conferências
Livre distribuição (licenças GNU LGPL e GFDL / CC)
OWASP
9
OWASP Ferramentas e Tecnologias
• Vulnerability
Scanners
• Static Analysis
Tools
• Fuzzing
• Penetration
Testing Tools
• Code Review
Tools
• ESAPI
Automated
Security
Verification
Manual
Security
Verification
• AppSec Libraries
• ESAPI Reference
Implementation
• Guards and
Filters
• Reporting Tools
• Flawed Apps
• Learning
Environments
• Live CD
• SiteGenerator
Secure
Coding
AppSec
Management
AppSec
Education
Security
Architecture
OWASP
10
Base de conhecimento viva!
2009
2007
2005
2003
2001
OWASP
11
Como Participar?




Acesse www.owasp.org
Produção artigos/conteúdo
Lista de discussões
Envolvimento em projetos
 Temporadas de códigos
 Novas idéias
 Projetos Alpha/Beta
 Apresentações/Divulgação
 Membership
 ...
OWASP
12
OWASP-BR – Capítulo Brasil
http://www.owasp.org/index.php/Brazilian
Líder: Wagner Elias
Atividades:
Tradução TOP10 2007
Tradução WEBGOAT 5.1
Apresentações:
FISL 9.0
FLISOL
Universidades/Faculdades
OWASP
13
OWASP-BR – Capítulo Brasil
Idéias futuras:
Tradução do “Testing Guide v3”
Conferência AppSec09 Latam
Reuniões mensais
Voluntários?!?! Alguém?!?
OWASP
14
OWASP Membership
 Utilizando material do OWASP?
 Junte-se a nós e torne-se um associado!
 Financia manutenção dos projetos
 Referência no site (empresas)
 Descontos em conferências e treinamentos
 US$100 OFF BlackHat08
 15% OFF (ISC)² studISCope
Quanto?
 Individual: US$100 USD
 Educational and Non-Profit: $250 USD
 Usuários-finais, Consultorias, Vendors: US$2000 – 9000
http://www.owasp.org/index.php/Membership
OWASP
15
OWASP Membership
Empresas mantenedoras
OWASP
16
OWASP Summer of Code – SoC 2008
Projetos inovadores
Alcançar qualidade para publicação
6 tools / 7 documentação
Investimentos:
Autumm of Code 2006
 9 projetos / US$20K
Spring of Code 2007
 21 projetos / US$117K
Summer of Code 2008
 33 projetos / US$126K
OWASP
17
SoC 2008 – Projetos Nacionais Aprovados
Positive Security Project
Mudar a perspectiva da segurança em aplicações
Líder: Eduardo Camargo Neves
http://www.owasp.org/index.php/Category:OWASP_P
ositive_Security_Project
ASDR – Application Security Desk Reference
Compilar o mais abrangente guia de referência
Líder: Leonardo Cavallari Militelli
www.owasp.org/index.php/Category:OWASP_ASDR_P
roject
OWASP
18
Principais Projetos
Documentação
Top 10 Web Application Security Vulnerabilities
Guide to Building Secure Web Applications
Legal Project
Testing Guide
AppSec Faq
Ferramentas
WebGoat
WebScarab
OWASP
19
OWASP Top 10
Top 10 Vulnerabilidades em aplicações Web
Atualizado anualmente
Baseado em dados obtidos de aplicações na Internet
Aceitação crescente pela indústria




Federal Trade Commission (US Gov)
US Defense Information Systems Agency
VISA (Cardholder Information Security Program)
PCI
Um bom começo para criação de práticas seguras de
desenvolvimento nas organizações
OWASP
20
Perguntas e Respostas
[email protected]
http://www.owasp.org/index.php/Brazilian
OWASP
21