2017: OWASP Top 10 und OWASP-Perlen
Websoftware gehört die Welt, sie läuft im Browser, auf dem Server oder auf dem zirka 5 Zoll großen tragbaren Computer, mit dem man auch telefonieren kann – wenn es sein muss. Sicherheit bei der allgegenwärtigen Software war lange Zeit eher dem Zufall bzw. allein den Fähigkeiten der Entwickler oder kopierten Codefragmenten von Stackoverflow et al. überlassen.
Das OWASP-Projekt (Open Web Application Security) hat sich in den vergangenen Jahren zu der (!) Institution gemausert, die nicht nur kostenlos, sondern nach Open-Source-Lizenzen fundiertes Wissen, Software und mehr zur Verfügung stellt. Eines der Flagschiff-Projekte ist die OWASP-Top-10-Liste, die 2017 in der sechsten Inkarnation zur Verfügung steht.
Der Vortrag erklärt die Grundlagen der OWASP Top 10, zeigt, was sich geändert hat, wozu das Dokument benutzt werden soll und wo dessen Grenzen sind.
Softwaresicherheit sollte jedoch keinesfalls bei den OWASP Top 10 aufhören. Es gibt viele weitere OWASP-Projekte, die sich an jeden mit Sicherheit Befassten wenden, sei es Entwickler, Manager oder Pentester. Dieser zweite Teil des Vortrags stellt kurz eine handverlesene Auswahl von Projekten vor, die es sich lohnt, näher anzuschauen.
Vorkenntnisse
Wenig. Dies ist eher ein Grundlangenvortrag, der sich an Entwickler, Softwarearchitekten und auch Manager bzw. Berater wendet.
Lernziele
Übesicht über die OWASP Top 10 und Projekte, die es sich auf jeden Fall lohnt anzuschauen.