क्या OWASP अप्रासंगिकता के जोखिम में है?

जैसा कि OWASP फाउंडेशन अपने अस्तित्व के तीसरे दशक में नेविगेट करता है, कई अनुप्रयोग सुरक्षा विशेषज्ञ और OWASP स्वयंसेवक योगदानकर्ता कहते हैं कि संगठन के प्रासंगिक बने रहने के लिए कुछ बड़े बदलाव करने का समय आ गया है। इस सप्ताह, 60 से अधिक हाई-प्रोफाइल OWASP सदस्यों के एक समूह ने एक संदेश भेजा खुला पत्र OWASP बोर्ड ऑफ डायरेक्टर्स और फाउंडेशन के कार्यकारी निदेशक को फाउंडेशन में महत्वपूर्ण बदलावों की मांग करते हुए। इनमें से कई सह-हस्ताक्षरकर्ता प्रमुख OWASP परियोजनाओं के प्रमुख, आजीवन योगदानकर्ता और OWASP बोर्ड के पूर्व सदस्य थे।

कंट्रास्ट सिक्योरिटी के सह-संस्थापक और सीटीओ जेफ विलियम्स, 2001 से 2011 तक ओडब्ल्यूएएसपी चेयर, और सह-हस्ताक्षरकर्ताओं में से एक, पहले ओडब्ल्यूएएसपी टॉप टेन के लेखक, "ओडब्ल्यूएएसपी अब केवल नवाचार नहीं चला रहा है।" "ओपन सोर्स बदल गया है, और OWASP को योगदानकर्ताओं को बेहतर समर्थन देने की आवश्यकता है।"

हस्ताक्षरकर्ताओं में दो वर्तमान बोर्ड सदस्य, ग्लेन टेन केट और मार्क कर्फे भी थे। जबकि कर्फी का कहना है कि पत्र समूह के भीतर आपसी सहयोग का परिणाम है, यह भी एक के साथ बहुत निकटता से संरेखित करता है घोषणापत्र उन्होंने पिछले साल प्रकाशित किया 2023 बोर्ड में एक सीट के लिए उनकी सफल बोली के हिस्से के रूप में। OWASP के संस्थापक के रूप में, Curphey कुछ समय के लिए संगठन के साथ सीधे तौर पर शामिल नहीं थे, लेकिन हमेशा OWASP के समर्थक और अधिवक्ता रहे, जबकि वे एक सुरक्षा व्यवसायी, सुरक्षा उत्पाद नेता और अनुप्रयोग सुरक्षा स्थान में उद्यमी होने में व्यस्त थे। .

कर्फी ने बोर्ड के लिए अपने अभियान के दौरान निम्नलिखित तीन प्रमुख बिंदुओं पर ध्यान केंद्रित किया:

• OWASP के फंडिंग मॉडल को बदलने के लिए और अधिक देखने के लिए कि कैसे Linux Foundation और इसका Open Software Security Foundation अपने प्रोजेक्ट का समर्थन करने के लिए दाताओं के साथ काम करता है,
• परियोजनाओं को साफ करने के लिए प्रभारी का नेतृत्व करने के लिए एक मुख्य उत्पाद अधिकारी स्थापित करने के लिए (और उच्च प्रभाव वाले लोगों को प्राथमिकता दें) साथ ही OWASP साइट को और अधिक डेवलपर के अनुकूल बनाने के लिए उसका नवीनीकरण करें, और
• लालफीताशाही को खत्म करने के लिए OWASP की संस्कृति को बदलने के लिए और OWASP मिशन में विक्रेता कैसे शामिल हैं (या नहीं हैं) में अधिक पारदर्शिता जोड़ने के लिए।

खुला पत्र गूँजता है इन बिंदुओं में से कई, शासन में बदलाव का आह्वान करते हुए, जो धन उगाहने में एक कठोर प्रयास को बढ़ावा दे सकता है, जिससे उन्हें लगता है कि समर्पित डेवलपर्स और परियोजना के नेताओं को नियुक्त करने के लिए लाखों डॉलर खींच सकते हैं।

OWASP तब और अब

जब OWASP को 2001 में वापस स्थापित किया गया था, तो यह एप्लिकेशन सुरक्षा अधिवक्ताओं द्वारा स्थापित प्यार का एक बेकार श्रम था, जो असुरक्षित वेब अनुप्रयोगों द्वारा उत्पन्न इंटरनेट के बढ़ते जोखिम के बारे में चिंतित थे। वे साइबर सुरक्षा के अंदरूनी सूत्रों के बुलबुले के बाहर की समस्या के बारे में जागरूकता बढ़ाना चाहते थे। और इसलिए OWASP का जन्म न केवल सुरक्षा पेशेवरों, बल्कि डेवलपर्स और उद्यम हितधारकों को भी शिक्षा और संसाधन प्रदान करने में मदद करने के लिए हुआ था।

यह विचार संगठनों को तकनीकी मार्गदर्शन देने के लिए था जो डेवलपर्स को उनकी कोडिंग प्रथाओं में सुधार करने और उनके द्वारा तैनात किए गए सॉफ़्टवेयर में कमजोरियों के जोखिम को कम करने में सक्षम बना सके। यह OWASP टॉप 10 की उत्पत्ति थी, जो समूह की प्रशंसित सूची थी 10 जोखिम भरी खामियां उन अनुप्रयोगों में जिन्हें पहली बार 2003 में प्रकाशित किया गया था और जिसके बाद से कई अद्यतन और उप-सूचियां उत्पन्न हुई हैं, और जिसने सुरक्षा ओपन सोर्स परियोजनाओं, वाणिज्यिक उत्पादों और सेवाओं की पूरी मेजबानी की है।

उन शुरुआती वर्षों से बहुत सी चीजें बदल गई हैं। ओडब्ल्यूएएसपी के जागरूकता अंश ने निश्चित रूप से अपनी छाप छोड़ी है, और आज यह समूह 240 से अधिक अध्यायों और दुनिया भर के हजारों सदस्यों और प्रतिभागियों का समर्थन करने के लिए विकसित हो गया है। यह स्थानीय और वैश्विक घटनाओं की एक पूरी स्लेट, और शीर्ष 10, सॉफ्टवेयर आश्वासन परिपक्वता मॉडल (एसएएमएम), और जेड अटैक प्रॉक्सी (जेडएपी) जैसी कई परियोजनाओं की मेजबानी करता है।

हालाँकि, किए जाने वाले एप्लिकेशन सुरक्षा कार्य का दायरा काफी व्यापक हो गया है क्योंकि दुनिया वेब अनुप्रयोगों से आगे बढ़ गई है और अब मोबाइल ऐप, IoT और एम्बेडेड सिस्टम, वियरेबल्स और बीच में सब कुछ - जो सभी सॉफ्टवेयर द्वारा संचालित है, से अटा पड़ा है। .

और विकास का माहौल भी मौलिक रूप से बदल गया है। आधुनिक विकास प्रथाओं ने पारंपरिक जलप्रपात विकास पैटर्न से आगे बढ़ने के लिए निरंतर एकीकरण/निरंतर वितरण (CI/CD), DevOps और फुर्तीली विकास जैसी विधियों को अपनाया है। डेवलपर्स अपने सॉफ़्टवेयर के निर्माण के लिए माइक्रोसर्विस आर्किटेक्चर और मिक्स-एंड-मैच ओपन सोर्स घटकों पर बहुत अधिक निर्भर करते हैं।

दुर्भाग्य से, इतने सारे बदलावों के सामने, कुछ चीजें भी वैसी ही बनी हुई हैं। उस पहले OWASP शीर्ष 10 के कई मुद्दे आज भी उतने ही समस्याग्रस्त हैं और अभी भी सूची में हैं, जिनमें इंजेक्शन की खामियां, गलत कॉन्फ़िगरेशन और प्रमाणीकरण विफलताएं शामिल हैं। अब, हालाँकि, ये परेशान करने वाली समस्याएँ जो कभी दूर नहीं हुई हैं, केवल विस्तारित दायरे, विकास की गति, और सॉफ्टवेयर आपूर्ति श्रृंखला निर्भरता की उलझन से और बढ़ गई हैं जो वर्षों से मिश्रण में जुड़ गई हैं।

परिवर्तन के लिए कोलाहल

इन कारकों के संदर्भ में, कई ओडब्ल्यूएएसपी के अंदरूनी सूत्रों का तर्क है कि गैर-लाभकारी सॉफ्टवेयर विकास दुनिया के भीतर परिवर्तन की गति के साथ नहीं रखा गया है। वे कहते हैं कि फाउंडेशन OWASP समुदाय की जरूरतों का समर्थन नहीं कर रहा है, खासकर फाउंडेशन के संबंध में प्रमुख परियोजनाएं, जिसमें OWASP की 274 अन्य परियोजनाओं में एक दर्जन से अधिक परियोजनाएं शामिल हैं।

"अतीत में जो काम करता था वह अब काम नहीं कर रहा है और OWASP को बदलने की जरूरत है। साल-दर-साल, चिंताएँ उठाई गई हैं और बदलाव के वादे किए गए हैं, लेकिन साल-दर-साल ऐसा नहीं हुआ है, ”ओडब्ल्यूएएसपी बोर्ड ऑफ डायरेक्टर्स और फाउंडेशन के कार्यकारी निदेशक को खुला पत्र कहा। "हमारी परियोजनाओं और उनके आसपास के समुदाय के बीच की खाई, और OWASP द्वारा प्रदान की जाने वाली सहायता, व्यापक रूप से बढ़ती जा रही है।"

इस नवीनतम संदेश के प्रकाशन के साथ, पत्र के सह-हस्ताक्षरकर्ताओं का कहना है कि OWASP की सबसे प्रभावशाली परियोजनाओं में से कुछ - जिन पर कई उद्यमों द्वारा भरोसा किया जाता है और उत्पाद उद्यमों द्वारा आज उपयोग किया जाता है - उन्हें "स्वतंत्र रूप से संचालित करने के लिए छोड़ दिया जाता है, कुछ मामलों में अपने स्वयं के प्रायोजन का प्रबंधन करते हैं, वित्त, वेबसाइट, डोमेन, संचार प्लेटफॉर्म और डेवलपर टूल।"

हस्ताक्षरकर्ता आधुनिक सॉफ्टवेयर वितरण मॉडल के संदर्भ में डेवलपर्स की जरूरतों को पूरा करने के लिए समूह को वापस लाने के लिए फंडिंग मॉडल और शासन में कुछ कठोर बदलावों के लिए संघर्ष कर रहे हैं। उन्होंने एक कार्य सूची विकसित की जिसमें पाँच प्रमुख बिंदु शामिल हैं, जो फाउंडेशन और बोर्ड को निम्न कार्य करने के लिए कहते हैं:

1. OSSF योजना को एक संदर्भ के रूप में इंगित करते हुए एक सामुदायिक योजना विकसित करें जो प्रमुख पहलों को प्राथमिकता दे
2. फाउंडेशन की शासन संरचना को "संपूर्ण सुरक्षा समुदाय की आवश्यकता को बेहतर ढंग से प्रतिबिंबित करने" के लिए बदलें
3. समर्पित डेवलपर्स, सामुदायिक प्रबंधकों और सहायक कर्मचारियों के भुगतान के लिए $5 मिलियन से $10 मिलियन जुटाने के लिए एक आक्रामक फंडिंग अभियान स्थापित करें
4. समुदाय के लिए परियोजनाओं से गर्मी दूर करने के लिए केंद्रीकृत बुनियादी ढांचे और सेवाओं में सुधार
5. उत्पाद पोर्टफोलियो के प्रबंधन में और स्थानीय अध्यायों में क्या चल रहा है, इसके लिए अधिक केंद्रीकृत हाथ लें

विलियम्स का कहना है कि उन्होंने हस्ताक्षर इसलिए किए क्योंकि उन्हें लगा कि समूह ने जिन परिवर्तनों की मांग की है वे "दुर्भाग्य से आवश्यक" हैं।

"ओडब्ल्यूएएसपी के पास परियोजना की जरूरतों के आधार पर नीचे से ऊपर की ओर से निर्मित वित्तीय योजना नहीं होने का एक स्पष्ट छेद है," वे कहते हैं। "इसके बिना, प्रभावी ढंग से धन उगाहना असंभव है। एक आक्रामक फंडिंग योजना लिखना, कुछ बड़ी फंडिंग वृद्धि के बाद जाना, और अधिक आक्रामक परियोजनाओं को लेना ही OWASP को तेजी से आगे बढ़ने का एकमात्र तरीका है।

नेक्स्ट-स्टेप रियलिटीज़

सवाल यह है कि क्या फाउंडेशन और OWASP समुदाय इनमें से कुछ बदलाव करने के इच्छुक और सक्षम हैं। के अनुसार चेन्सी वांग, एक पूर्व OWASP बोर्ड सदस्य, प्रस्ताव में कई चीजें हैं जो "बहुत आवश्यक" हैं क्योंकि उनका मानना ​​​​है कि OWASP एक ऐसे संगठन में विकसित हो गया है जो रन इवेंट्स से ज्यादा कुछ नहीं करता है।

"लेकिन कुछ अन्य आइटम OWASP के लिए बहुत महत्वाकांक्षी प्रतीत होते हैं, जिसमें एक स्वयंसेवी बोर्ड और एक छोटा ऑपरेटिंग स्टाफ है। उदाहरण के लिए, 'परियोजना पोर्टफोलियो और अध्यायों को सक्रिय रूप से प्रबंधित करने' के लिए आगे बढ़ने के लिए पर्याप्त प्रयास की आवश्यकता होगी, जो कि आज के संसाधनों के साथ नींव नहीं कर सकता है, "वह कहती हैं। "इसके अलावा, प्राथमिकता वाली परियोजनाओं के वित्तपोषण के प्रस्ताव के लिए आज के मॉडल में बदलाव की आवश्यकता होगी और नई परियोजनाओं को बेदखल कर सकते हैं।"

जैसा कि वह इसे देखती है, प्रस्ताव को फंडिंग मॉडल, सामुदायिक मॉडल और फंड वितरित करने के तरीके में भारी बदलाव की आवश्यकता है।

वांग कहते हैं, "यह सब एक झटके में करना बहुत विघटनकारी होने वाला है।" "एक चरणबद्ध दृष्टिकोण ऐसा करने का एकमात्र तरीका है।"

अपने हिस्से के लिए, OWASP फाउंडेशन के कार्यकारी निदेशक एंड्रयू वैन डेर स्टॉक का कहना है कि वह भी पत्र में कई बिंदुओं से सहमत हैं। पत्र प्रकाशित होने के अगले दिन फाउंडेशन की मासिक बोर्ड बैठक में प्रस्ताव पेश किए गए। उनका कहना है कि बैठक अच्छी तरह से हुई, और वह इस बात से सहमत हैं कि बोर्ड को अपने न्यासी कर्तव्य के एक हिस्से के रूप में वैसे भी एक प्राथमिकता योजना निर्धारित करने की आवश्यकता है।

उन्होंने पत्र के बारे में कहा, "जिस तरह से इसे प्रस्तुत किया गया था, उसमें ऐसा कुछ भी नहीं है जिससे हम असहमत हों।" "मुझे लगता है कि 30 दिनों के भीतर एक योजना बनाना निश्चित रूप से संभव है। मेरी प्रमुख चिंता वास्तव में चारों ओर है यदि हम एक समय सीमा में सभी पांच लक्ष्यों को प्राप्त करने का प्रबंधन नहीं करते हैं जो परियोजनाएं हमें इसे प्राप्त करना चाहती हैं।

उन्हें यह भी आश्चर्य होता है कि क्या बोर्ड के मौजूदा उपनियम और OWASP समुदाय के भुगतान करने वाले सदस्यों की इच्छा से सह-हस्ताक्षरकर्ता जिस तरह के शासन और फंडिंग में बदलाव चाहते हैं, उसकी अनुमति होगी। उदाहरण के लिए, OWASP को OSSF संगठन की तरह स्थापित नहीं किया गया है, जिसमें वर्तमान में एक बोर्ड है जिसमें ऐसे सदस्य शामिल हैं जो कॉर्पोरेट सदस्यता के माध्यम से अपनी सीटें खरीदते हैं और उन सीटों को बनाए रखने के लिए महत्वपूर्ण भुगतान करते हैं। ओडब्ल्यूएएसपी में वर्तमान में 7,000 लोगों के अलावा लगभग 80,000 वित्तीय सदस्य हैं जो घटनाओं, अध्याय बैठकों और परियोजनाओं के माध्यम से समुदाय में भाग लेते हैं। भुगतान करने वाली सदस्यता में ऐसे व्यक्ति शामिल हैं जो प्रति वर्ष $50 का भुगतान करते हैं, आजीवन सदस्य जो $500 का भुगतान करते हैं, और कॉर्पोरेट प्रायोजक जो $5,000 और उससे अधिक का भुगतान करते हैं, समर्थन के स्तर के आधार पर वे देना चाहते हैं।

"मुझे नहीं लगता कि हमारा समुदाय उस बदलाव का समर्थन करेगा। यह उन चीजों में से एक है जो मुझे लगता है कि थोड़ा अवास्तविक होने जा रहा है, "वैन डेर स्टॉक कहते हैं, जो कहते हैं कि इस प्रकार के परिवर्तनों के लिए OWASP उपनियमों में बदलाव की आवश्यकता होगी, जो पहले से ही ओवरहाल होने के अंतिम चरण में हैं। लगभग एक साल पहले एक खोज के जवाब में "काफी मानक" गैर-लाभकारी उपनियमों का सेट कि मूल उपनियम डेलावेयर जनरल कॉर्पोरेट कानून के अनुसार अमान्य थे। केवल उस नियमित प्रक्रिया के लिए एक व्यापक प्रक्रिया की आवश्यकता होती है जिसमें सामान्य सदस्यता द्वारा मतदान शामिल होता है।

फिर भी, वैन डेर स्टॉक का कहना है कि अगर बोर्ड अधिक फंडिंग खींचने का रास्ता खोज सकता है तो OWASP निश्चित रूप से फल-फूल सकता है।

"अगर हम सालाना $ 5 मिलियन और $ 10 मिलियन के बीच प्राप्त कर सकते हैं, तो हम बहुत कुछ कर सकते हैं। अगर हम लोगों को पूर्णकालिक परियोजनाओं पर काम करने के लिए प्राप्त कर सकते हैं, तो ये चीजें बहुत जल्दी और शायद बहुत अधिक गुणवत्ता के साथ दिखाई देंगी," वह कहते हैं, यह देखते हुए कि फाउंडेशन के रोस्टर में वर्तमान में केवल पांच कर्मचारी हैं। "मुझे लगता है कि वास्तव में एकमात्र घर्षण, और केवल एक चीज जिसे चुनौती दी जा सकती है, वह शासन मॉडल है। मुझे लगता है कि हमारे समुदाय के पास इसके बारे में कहने के लिए बहुत कुछ होगा। ”

विलियम्स की भी यही चिंता है।

"मुझे चिंता है कि वर्तमान प्रशासन संरचनाओं को देखते हुए OWASP पत्र का जवाब नहीं दे पाएगा," वे कहते हैं।

लेकिन कर्फे के अनुसार, बोर्ड की बैठक बदलाव लाने वालों के प्रस्ताव को सामने रखने और अगले कदमों पर विचार करने के लिए एक अच्छी शुरुआत थी।

"बोर्ड की बैठक सकारात्मक थी," वे कहते हैं। "अभी भी एक लंबा रास्ता तय करना है, लेकिन हम देखेंगे। मुझे एक और बोर्ड बैठक में भाग लेने के लिए जल्दी निकलना था, लेकिन जब मैं गया तो प्रगति और मौजूदा बोर्ड की अनुकूलन और परिवर्तन की इच्छा से बहुत खुश था।"

सीआईएसओ को देखभाल क्यों करनी चाहिए?

CISOs और सुरक्षा व्यवसायियों के लिए बड़ा सवाल यह है कि क्या OWASP में इस आंतरिक जॉकी में से कोई भी वास्तव में उनके लिए मायने रखता है। वांग के अनुसार, फाउंडेशन आज जो निर्णय और कार्य करता है, जरूरी नहीं कि वह अभी सीआईएसओ को सीधे प्रभावित करे। लेकिन इसका एक दीर्घकालिक तरंग प्रभाव हो सकता है जो लंबे समय में डेवलपर्स की मदद करने के लिए उनके पास मौजूद तकनीकी विकल्पों को प्रभावित करता है।

वह कहती हैं, "इससे उभरती प्रौद्योगिकियों का बेहतर समर्थन हो सकता है, जो कि चिकित्सकों द्वारा इन तकनीकों को अपनाने के तरीके को प्रभावित कर सकता है।"

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/edge-articles/is-owasp-at-risk-of-irrelevance