Kas OWASP on ebaolulisuse ohus?

Kas OWASP on ebaolulisuse ohus?

Ajatempel: 17. veebruar 2023 6:05
Is OWASP at Risk of Irrelevance? PlatoBlockchain Data Intelligence. Vertical Search. Ai.

OWASP Foundationi kolmandal kümnendil tegutsedes ütlevad paljud rakenduste turbeeksperdid ja OWASP-i vabatahtlikud kaastöötajad, et organisatsioonil on aeg teha mõned suured muudatused, et jääda asjakohaseks. Sel nädalal saatis üle 60 kõrgetasemelise OWASP liikme rühm teate avaliku kirja OWASP direktorite nõukogule ja fondi tegevdirektorile, nõudes sihtasutuses olulisi muudatusi. Paljud neist kaasallkirjastajatest olid OWASP-i juhtprojektide juhid, eluaegsed panustajad ja endised OWASP-i juhatuse liikmed.

„OWASP lihtsalt ei juhi enam innovatsiooni,“ ütleb Contrast Security kaasasutaja ja CTO Jeff Williams, OWASP esimese kümnendiku autor, OWASP õppetool aastatel 2001–2011 ja üks kaasallkirjastajatest. "Avatud lähtekoodiga on muutunud ja OWASP peab sammu pidama, toetades paremini kaastöötajaid."

Allakirjutanute hulgas oli ka kaks praegust juhatuse liiget, Glenn ten Cate ja Mark Curphey. Kuigi Curphey ütleb, et kiri on grupisisese koostöö tulemus, on see väga tihedalt kooskõlas manifesti, mille ta avaldas eelmisel aastal osana tema edukast pakkumisest 2023. aasta juhatuses. OWASP-i asutajana ei olnud Curphey organisatsiooniga mõnda aega otseselt seotud, kuid oli alati olnud OWASPi toetaja ja eestkõneleja, samal ajal kui ta oli hõivatud turvapraktiku, turbetoodete juhi ja ettevõtjana rakenduste turberuumis. .

Curphey keskendus oma juhatuse kampaania ajal kolmele põhipunktile:

  • muuta OWASP-i rahastamismudelit, et see näeks välja rohkem sarnane sellele, kuidas Linux Foundation ja selle Open Software Security Foundation teevad rahastajatega koostööd nende projekti toetamiseks,
  • määrata tootejuht, kes juhib projektide puhastamist (ja tähtsustab suurema mõjuga projekte) ning renoveerib OWASP-i saidi, et muuta see arendajasõbralikumaks, ja
  • muuta OWASP-i kultuuri, et kaotada bürokraatia ja suurendada läbipaistvust selles osas, kuidas müüjad on (või ei ole) OWASP-i missiooni kaasatud.

Avatud kiri kajab paljud neist punktidest, kutsudes üles muutma juhtimist, mis võiks anda hoogu drastilistele jõupingutustele rahaliste vahendite kogumisel, mis võiks nende arvates koguda miljoneid dollareid pühendunud arendajate ja projektijuhtide palkamiseks.

OWASP siis ja praegu

Kui OWASP asutati 2001. aastal, oli see vana armastuse töö, mille asutasid rakenduste turvalisuse eestkõnelejad, kes tundsid muret ebaturvaliste veebirakenduste põhjustatud Interneti kasvava riski pärast. Nad tahtsid tõsta teadlikkust probleemist väljaspool küberturvalisuse siseringi mulli. Nii sündis OWASP, et aidata pakkuda haridust ja ressursse mitte ainult turbespetsialistidele, vaid ka arendajatele ja ettevõtete sidusrühmadele.

Idee oli anda organisatsioonidele tehnilisi juhiseid, mis võimaldaksid arendajatel parandada oma kodeerimistavasid ja vähendada nende juurutatud tarkvara haavatavuste ohtu. See oli OWASP Top 10 tekkimine, grupi ülistatud nimekiri 10 kõige riskantsemat viga rakendustes, mis avaldati esmakordselt 2003. aastal ja mis on sellest ajast peale toonud kaasa arvukalt värskendusi ja alamloendeid ning mis on aidanud kaasa tervele hulgale avatud lähtekoodiga turvaprojektidele, kommertstoodetele ja -teenustele.

Paljud asjad on nende algusaastatega võrreldes muutunud. OWASP-i teadlikkuse tõstmise osa on kindlasti saavutanud oma märgi ja tänaseks on grupp kasvanud, et toetada üle 240 peatüki ning kümneid tuhandeid liikmeid ja osalejaid üle maailma. See korraldab kõiki kohalikke ja ülemaailmseid sündmusi ning mitmeid projekte, nagu Top 10, tarkvaratagatise küpsusmudel (SAMM) ja Zed Attack Proxy (ZAP).

Rakenduste turvalisusega seotud töö ulatus on aga märkimisväärselt laienenud, kuna maailm on veebirakendustest palju kaugemale jõudnud ja on nüüd täis mobiilirakendusi, asjade Interneti ja manustatud süsteeme, kantavaid seadmeid ja kõike, mis sinna vahele jääb – kõike seda juhib tarkvara. .

Ja ka arenduskeskkond on radikaalselt muutunud. Kaasaegsed arendustavad on kasutanud selliseid meetodeid nagu pidev integreerimine/pidev kohaletoimetamine (CI/CD), DevOps ja agiilne arendus, et võtta üle traditsioonilistest kose arendusmustritest. Arendajad toetuvad tarkvara väljatöötamiseks suuresti mikroteenuste arhitektuuridele ja segavad ja sobitavad avatud lähtekoodiga komponente.

Kahjuks on kogu selle muutuse taustal mõned asjad jäänud samaks. Paljud selle esimese OWASP Top 10 probleemid on tänapäeval sama problemaatilised ja endiselt nimekirjas, sealhulgas süstimisvead, väärkonfiguratsioonid ja autentimise tõrked. Nüüd aga süvendavad neid närivaid probleeme, mis pole kunagi kadunud, ainult laienenud ulatus, arenduskiirus ja tarkvara tarneahela sõltuvuste sasipundar, mis on aastate jooksul lisandunud.

Muutuste nõudmine

Nende tegurite kontekstis väidavad paljud OWASP-i insaiderid, et mittetulundusühing ei ole tarkvaraarenduse maailmas toimuvate muutuste tempoga kaasas käinud. Nad ütlevad, et sihtasutus ei toeta OWASP-i kogukonna vajadusi, eriti mis puudutab sihtasutuse vajadusi juhtprojektid, mis hõlmab üle tosina projekti OWASPi 274 muu projekti hulgas.

„See, mis varem töötas, lihtsalt ei tööta praegu ja OWASP peab muutuma. Aasta-aastalt on tõstatatud muret ja antud lubadusi muutusteks, kuid aastast aastasse pole seda juhtunud,” seisis OWASP direktorite nõukogule ja fondi tegevjuhile saadetud avalikus kirjas. "Lõhe meie projektide ja neid ümbritseva kogukonna soovide ning OWASP-i pakutava toetuse vahel kasvab jätkuvalt."

Selle viimase saatekirja avaldamisega väidavad kirja kaasallkirjastajad, et mõned OWASP-i kõige mõjukamad projektid – need, millele paljud ettevõtted ja ettevõtted tänapäeval kasutavad tooteid – jäetakse „toimima iseseisvalt, mõnel juhul haldades ise sponsorlust, rahandus, veebisaidid, domeenid, suhtlusplatvormid ja arendajatööriistad.

Allakirjutanud nõuavad mõningaid drastilisi muudatusi rahastamismudelites ja juhtimises, et rühm saaks tagasi teenindada arendajate vajadusi kaasaegsete tarkvaratarnemudelite kontekstis. Nad koostasid tegevusloendi, mis koosneb viiest peamisest punktist, kutsudes sihtasutust ja juhatust üles:

  1. töötada välja kogukonna plaan, mis seab prioriteediks peamised algatused, osutades OSSF-i plaanile viitena
  2. muuta sihtasutuse juhtimisstruktuuri nii, et see peegeldaks paremini kogu julgeolekukogukonna vajadusi
  3. luua agressiivne rahastamiskampaania, et koguda 5–10 miljonit dollarit, et maksta pühendunud arendajatele, kogukonnahalduritele ja tugipersonalile
  4. parandada tsentraliseeritud infrastruktuuri ja kogukonna teenuseid, et projektidest soojust maha võtta
  5. võtke tsentraliseeritumalt käsi tooteportfelli ja kohalikes peatükkides toimuva haldamisel

Williams ütleb, et allkirjastas lepingu, kuna tundis, et muudatused, mida rühmitus nõudis, on "kahjuks vajalikud".

"OWASP-l on silmatorkav auk selles, et tal ei ole projekti vajadustest lähtuvat alt üles ehitatud finantsplaani," ütleb ta. "Ilma selleta on võimatu tõhusalt raha koguda. Agressiivse rahastamisplaani kirjutamine, suurte rahastamise suurendamine ja agressiivsemate projektide võtmine on ainus viis OWASP-i kiireks liikumiseks.

Järgmise sammu tegelikkus

Küsimus on selles, kas sihtasutus ja OWASP-i kogukond soovivad ja suudavad mõnda neist muudatustest teha. Vastavalt Chenxi WangOWASP endise juhatuse liikmena on ettepanekus palju punkte, mida on "väga vaja", kuna ta usub, et OWASP on muutunud organisatsiooniks, mis ei tee palju enamat kui korraldab üritusi.

"Kuid mõned muud esemed tunduvad OWASP-i jaoks liiga ambitsioonikad, millel on vabatahtlik juhatus ja väike operatiivpersonal. Näiteks punkt „projektiportfelli ja peatükkide aktiivne haldamine” nõuaks edaspidiseks märkimisväärset pingutust, mida sihtasutus ei pruugi tänaste ressurssidega teha,“ ütleb ta. "Samuti eeldaks prioriteetsete projektide rahastamise ettepanek tänase mudeli muutmist ja võib uuemate projektide valimisõiguse ära võtta."

Tema arvates nõuab ettepanek drastilisi muudatusi rahastamismudelis, kogukonna mudelis ja raha jaotamise viisis.

"Kõige selle ühe hoobiga tegemine on liiga häiriv," ütleb Wang. "Etapiviisiline lähenemine on ainus viis selle saavutamiseks."

OWASP Foundationi tegevdirektor Andrew van der Stock ütleb omalt poolt, et nõustub ka paljude kirja punktidega. Päev pärast kirja avaldamist tutvustati ettepanekuid sihtasutuse igakuisel juhatuse koosolekul. Ta ütleb, et koosolek läks hästi ja ta nõustub, et juhatus peab oma usalduskohustuse osana niikuinii seadma prioriteetse plaani.

"Peale selle, kuidas seda esitleti, pole seal midagi, millega me ei nõustuks," ütleb ta kirja kohta. "Ma arvan, et plaani koostamine 30 päeva jooksul on kindlasti teostatav. Minu peamine mure on tõesti see, kui me ei suuda saavutada kõiki viit eesmärki aja jooksul, mille jooksul projektid soovivad, et me selle saavutaksime.

Samuti mõtleb ta, kas juhatuse praegused põhikirjad ja OWASP-i kogukonna maksvate liikmete tahe võimaldavad selliseid juhtimis- ja rahastamismuudatusi, mida kaasallkirjastajad soovivad. Näiteks OWASP ei ole loodud nii, nagu on OSSF-i organisatsioon, millel on praegu juhatus, mis koosneb liikmetest, kes ostavad oma kohad ettevõtte liikmelisuse kaudu ja maksavad nende kohtade säilitamise eest märkimisväärselt. OWASP-l on praegu umbes 7,000 finantsliiget lisaks 80,000 50 inimesele, kes osalevad kogukonnas ürituste, peatüki koosolekute ja projektide kaudu. See maksev liikmelisus hõlmab üksikisikuid, kes maksavad 500 dollarit aastas, eluaegseid liikmeid, kes maksavad 5,000 dollarit, ja ettevõtete sponsoreid, kes maksavad XNUMX dollarit ja rohkem, olenevalt toetuse tasemest, mida nad soovivad anda.

"Ma ei usu, et meie kogukond seda muutust toetaks. See on üks neist asjadest, mis on minu arvates veidi ebareaalne,” ütleb van der Stock, kes lisab, et sellised muudatused eeldaksid OWASP põhikirja muutmist, mis on juba viimases faasis. "üsna standardsed" mittetulundusühingu põhikirjad vastuseks umbes aasta tagusele avastusele, et algsed põhikirjad olid Delaware'i üldise ettevõtteseaduse kohaselt kehtetud. Ainuüksi see rutiinne protseduur nõudis ulatuslikku protsessi, mis hõlmas üldliikme hääletust.

Sellegipoolest ütleb van der Stock, et OWASP võiks kindlasti õitseda, kui juhatus leiab võimaluse raha juurde hankida.

"Kui saaksime 5–10 miljonit dollarit aastas, saaksime palju ära teha. Kui saaksime inimesi täiskohaga projektide kallal tööle panna, ilmuksid need asjad palju kiiremini ja ilmselt palju kvaliteetsemalt,” ütleb ta ja märgib, et praegu on sihtasutuses vaid viis inimest. "Ma arvan, et ainus hõõrdumine ja ainus asi, mille üle võib vaidlustada, on juhtimismudel. Ma arvan, et meie kogukonnal oleks selle kohta palju öelda.

See on ka Williamsi mure.

"Olen mures, et OWASP ei saa praeguseid juhtimisstruktuure arvestades kirjale vastata," ütleb ta.

Kuid Curphey sõnul oli juhatuse koosolek hea algus muudatuste tegijate ettepaneku väljatöötamiseks ja järgmiste sammude kaalumiseks.

"Juhatuse koosolek oli positiivne," ütleb ta. "Pikka tee on veel minna, aga eks me näe. Pidin küll varakult lahkuma, et osaleda teisel juhatuse koosolekul, kuid lahkudes olin väga rahul praeguse juhatuse edusammude ja sooviga kohaneda ja muutuda.

Miks peaksid CISOd hoolima?

CISO-de ja turvatöötajate jaoks on suur küsimus, kas see OWASP-i sisemine jokkimine on nende jaoks tõesti oluline. Wangi sõnul ei pruugi sihtasutuse täna tehtavad otsused ja tegevused tingimata CISO-sid praegu otseselt mõjutada. Kuid sellel võib olla pikaajaline lainetusefekt, mis mõjutab seda, milliseid tehnoloogiavõimalusi neil on arendajate abistamiseks pikemas perspektiivis.

"See võib kaasa tuua parema toe esilekerkivatele tehnoloogiatele, mis võivad mõjutada seda, kuidas praktikud neid tehnoloogiaid kasutusele võtavad, " ütleb ta.

Ajatempel:

Veel alates Tume lugemine