Mentre la OWASP Foundation naviga nel suo terzo decennio di esistenza, molti esperti di sicurezza delle applicazioni e collaboratori volontari di OWASP affermano che è giunto il momento per l'organizzazione di apportare alcuni grandi cambiamenti per rimanere rilevante. Questa settimana, un gruppo di oltre 60 membri OWASP di alto profilo ha inviato un lettera aperta al consiglio di amministrazione di OWASP e al direttore esecutivo della fondazione chiedendo modifiche significative alla fondazione. Molti di questi co-firmatari erano leader di progetti OWASP di punta, contributori a vita ed ex membri del consiglio OWASP.
"OWASP semplicemente non guida più l'innovazione", afferma Jeff Williams, co-fondatore e CTO di Contrast Security, autore della prima OWASP Top Ten, presidente di OWASP dal 2001 al 2011 e uno dei co-firmatari. "L'open source è cambiato e OWASP deve tenere il passo supportando meglio i contributori".
Tra i firmatari c'erano anche due attuali membri del consiglio, Glenn ten Cate e Mark Curphey. Sebbene Curphey affermi che la lettera è il risultato di una collaborazione reciproca all'interno del gruppo, si allinea anche molto strettamente con a manifesto che ha pubblicato lo scorso anno come parte della sua offerta di successo per un posto nel consiglio del 2023. In qualità di fondatore di OWASP, Curphey non è stato direttamente coinvolto con l'organizzazione per un po' di tempo, ma è sempre stato un sostenitore e sostenitore di OWASP mentre era impegnato come professionista della sicurezza, leader dei prodotti di sicurezza e imprenditore nello spazio della sicurezza delle applicazioni .
Curphey si è concentrato sui seguenti tre punti principali durante la sua campagna per il consiglio:
- cambiare il modello di finanziamento di OWASP per assomigliare di più al modo in cui la Linux Foundation e la sua Open Software Security Foundation collaborano con i donatori per sostenere il loro progetto,
- installare un chief product officer per guidare la carica per ripulire i progetti (e dare la priorità a quelli ad alto impatto), nonché rinnovare il sito OWASP per renderlo più amichevole per gli sviluppatori, e
- cambiare la cultura di OWASP per eliminare la burocrazia e aggiungere maggiore trasparenza nel modo in cui i fornitori sono (o non sono) coinvolti nella missione OWASP.
La lettera aperta fa eco molti di questi punti, mentre chiedono un cambiamento nella governance che potrebbe alimentare un drastico sforzo nella raccolta fondi che, a loro avviso, potrebbe portare a milioni di dollari per assumere sviluppatori e project leader dedicati.
OWASP allora e adesso
Quando OWASP è stata fondata nel lontano 2001, è stato un lavoro d'amore frammentario fondato da sostenitori della sicurezza delle applicazioni che erano preoccupati per il crescente rischio per Internet rappresentato da applicazioni Web non sicure. Volevano aumentare la consapevolezza del problema al di fuori della bolla degli addetti alla sicurezza informatica. E così OWASP è nato per aiutare a fornire istruzione e risorse non solo ai professionisti della sicurezza, ma anche agli sviluppatori e alle parti interessate aziendali.
L'idea era quella di fornire alle organizzazioni una guida tecnica che potesse consentire agli sviluppatori di migliorare le loro pratiche di codifica e ridurre il rischio di vulnerabilità nel software che hanno distribuito. Questa è stata la genesi dell'OWASP Top 10, la decantata lista del gruppo di 10 difetti più rischiosi nelle applicazioni che è stato pubblicato per la prima volta nel 2003 e che da allora ha generato numerosi aggiornamenti e sottoelenchi e che ha alimentato tutta una serie di progetti di sicurezza open source, prodotti commerciali e servizi.
Molte cose sono cambiate da quei primi anni. Il pezzo di consapevolezza di OWASP ha sicuramente colpito nel segno e oggi il gruppo è cresciuto fino a supportare oltre 240 capitoli e decine di migliaia di membri e partecipanti in tutto il mondo. Ospita una serie completa di eventi locali e globali e una serie di progetti come Top 10, Software Assurance Maturity Model (SAMM) e Zed Attack Proxy (ZAP).
Tuttavia, l'ambito del lavoro di sicurezza delle applicazioni da svolgere si è notevolmente ampliato man mano che il mondo si è spostato ben oltre le applicazioni Web ed è ora inondato di app mobili, IoT e sistemi integrati, dispositivi indossabili e tutto il resto, il tutto guidato dal software .
E anche l'ambiente di sviluppo è cambiato radicalmente. Le pratiche di sviluppo moderne hanno adottato metodi come integrazione continua/consegna continua (CI/CD), DevOps e sviluppo Agile per sostituire i tradizionali modelli di sviluppo a cascata. Gli sviluppatori si affidano fortemente alle architetture di microservizi e combinano componenti open source per creare il loro software.
Sfortunatamente, di fronte a tutto questo cambiamento, anche alcune cose sono rimaste le stesse. Molti dei problemi in quella prima OWASP Top 10 sono altrettanto problematici oggi e sono ancora nell'elenco, inclusi difetti di iniezione, configurazioni errate e errori di autenticazione. Ora, però, questi problemi fastidiosi che non sono mai scomparsi sono solo esacerbati dall'ambito ampliato, dalla velocità di sviluppo e dal groviglio di dipendenze della catena di fornitura del software che si sono aggiunte al mix nel corso degli anni.
Chiedendo a gran voce il cambiamento
Nel contesto di questi fattori, molti addetti ai lavori di OWASP sostengono che l'organizzazione non profit non ha tenuto il passo con il ritmo del cambiamento all'interno del mondo dello sviluppo software. Dicono che la fondazione non supporta i bisogni della comunità OWASP, specialmente per quanto riguarda quelli della fondazione progetti di punta, che comprende oltre una dozzina di progetti tra gli altri 274 progetti di OWASP.
“Ciò che ha funzionato in passato semplicemente non funziona ora e OWASP deve cambiare. Anno dopo anno, sono state sollevate preoccupazioni e ci sono state promesse di cambiamento, ma anno dopo anno ciò non è avvenuto”, si legge nella lettera aperta al Consiglio di amministrazione dell'OWASP e al direttore esecutivo della fondazione. "Il divario tra ciò che vogliono i nostri progetti e la comunità che li circonda e il supporto fornito da OWASP continua ad aumentare".
Con la pubblicazione di quest'ultima missiva, i cofirmatari della lettera affermano che alcuni dei progetti di maggior impatto di OWASP - quelli su cui fanno affidamento molte aziende e i prodotti che le aziende utilizzano oggi - sono lasciati a "operare in modo indipendente, in alcuni casi gestendo le proprie sponsorizzazioni, finanza, siti web, domini, piattaforme di comunicazione e strumenti per sviluppatori.”
I firmatari chiedono a gran voce alcuni drastici cambiamenti nei modelli di finanziamento e nella governance per riportare il gruppo a soddisfare le esigenze degli sviluppatori nel contesto dei moderni modelli di consegna del software. Hanno sviluppato un elenco di azioni composto da cinque punti principali, invitando la fondazione e il consiglio a:
- sviluppare un piano comunitario che dia priorità alle iniziative chiave, indicando come riferimento il piano OSSF
- modificare la struttura di governance della fondazione per "riflettere meglio le esigenze dell'intera comunità della sicurezza"
- stabilire una campagna di finanziamento aggressiva per raccogliere da $ 5 milioni a $ 10 milioni per pagare sviluppatori dedicati, gestori di comunità e personale di supporto
- migliorare le infrastrutture e i servizi centralizzati per la comunità per ridurre il calore dei progetti
- assumere una mano più centralizzata nella gestione del portafoglio prodotti e di ciò che accade nei capitoli locali
Williams afferma di aver firmato perché riteneva che i cambiamenti richiesti dal gruppo fossero "purtroppo necessari".
"OWASP ha un buco evidente nel non avere un piano finanziario costruito dal basso verso l'alto in base alle esigenze del progetto", afferma. “Senza quello, è impossibile raccogliere fondi in modo efficace. Scrivere un piano di finanziamento aggressivo, ottenere grandi incrementi di finanziamento e intraprendere progetti più aggressivi è l'unico modo per mantenere OWASP in movimento rapidamente.
Realtà del prossimo passo
La domanda è se la fondazione e la comunità OWASP siano disposte e in grado di apportare alcuni di questi cambiamenti. Secondo Chenxi Wang, un ex membro del consiglio di amministrazione di OWASP, ci sono molti elementi nella proposta che sono "molto necessari" poiché crede che OWASP si sia trasformata in un'organizzazione che non fa molto di più che organizzare eventi.
“Ma alcune delle altre voci sembrano essere troppo ambiziose per OWASP, che ha un consiglio di volontari e un piccolo staff operativo. Ad esempio, l'elemento per 'gestire attivamente il portfolio ei capitoli del progetto' richiederebbe uno sforzo sostanziale in futuro, che potrebbe non essere qualcosa che la fondazione può fare con le risorse odierne”, afferma. "Inoltre, la proposta sul finanziamento di progetti prioritari richiederebbe una modifica al modello odierno e potrebbe privare i progetti più recenti".
Per come la vede lei, la proposta richiederà drastici cambiamenti al modello di finanziamento, al modello comunitario e al modo in cui i fondi vengono distribuiti.
"Fare tutto questo in un colpo solo sarà troppo dirompente", afferma Wang. "Un approccio graduale è l'unico modo per far sì che ciò accada".
Da parte sua, il direttore esecutivo della OWASP Foundation, Andrew van der Stock, afferma di essere d'accordo con molti dei punti della lettera. Il giorno successivo alla pubblicazione della lettera, le proposte sono state presentate alla riunione mensile del consiglio di amministrazione della fondazione. Dice che l'incontro è andato bene e concorda sul fatto che il consiglio debba comunque stabilire un piano prioritario come parte del proprio dovere fiduciario.
"Al di là del modo in cui è stato presentato, non c'è nulla con cui non siamo d'accordo", dice della lettera. “Penso che la creazione di un piano entro 30 giorni sia decisamente fattibile. La mia principale preoccupazione è davvero se non riusciamo a raggiungere tutti e cinque gli obiettivi in un periodo di tempo in cui i progetti vogliono che li raggiungiamo.
Si chiede anche se l'attuale statuto del consiglio e la volontà dei membri paganti della comunità OWASP consentiranno il tipo di modifiche alla governance e ai finanziamenti desiderati dai co-firmatari. Ad esempio, OWASP non è impostato come l'organizzazione OSSF, che attualmente ha un consiglio composto da membri che acquistano i loro posti attraverso l'appartenenza aziendale e pagano in modo significativo per mantenere quei posti. OWASP ha attualmente circa 7,000 membri finanziari oltre alle 80,000 persone che partecipano alla comunità attraverso eventi, riunioni del capitolo e progetti. Quell'abbonamento pagante include individui che pagano $ 50 all'anno, membri a vita che pagano $ 500 e sponsor aziendali che pagano $ 5,000 e oltre, a seconda del livello di supporto che vogliono dare.
“Non credo che la nostra comunità sosterrebbe questo cambiamento. È una di quelle cose che penso sarà un po' irrealistica", afferma van der Stock, il quale aggiunge che questo tipo di cambiamenti richiederebbe un cambiamento nello statuto OWASP, che è già nelle ultime fasi di essere revisionato a un serie di statuti senza scopo di lucro "abbastanza standard" in risposta a una scoperta circa un anno fa che lo statuto originale non era valido secondo il diritto societario generale del Delaware. Quella procedura di routine da sola richiedeva un ampio processo che includeva un voto da parte dei membri generali.
Tuttavia, van der Stock afferma che OWASP potrebbe sicuramente prosperare se il consiglio di amministrazione riuscisse a trovare un modo per ottenere più finanziamenti.
“Se potessimo ottenere tra $ 5 milioni e $ 10 milioni all'anno, potremmo fare molto. Se potessimo convincere le persone a lavorare a tempo pieno sui progetti, queste cose sembrerebbero molto più rapide e probabilmente con una qualità molto più elevata ", afferma, osservando che la fondazione ha attualmente solo cinque membri dello staff nel suo elenco. “Penso che l'unico attrito in realtà, e l'unica cosa che potrebbe essere contestata, sia il modello di governance. Penso che la nostra comunità avrebbe molto da dire al riguardo”.
Questa è anche la preoccupazione di Williams.
"Sono preoccupato che OWASP non sarà in grado di rispondere alla lettera, date le attuali strutture di governance", dice.
Ma secondo Curphey, la riunione del consiglio è stata un buon inizio per definire la proposta dei responsabili del cambiamento e considerare i prossimi passi.
"La riunione del consiglio è stata positiva", afferma. “C'è ancora molta strada da fare, ma vedremo. Ho dovuto partire presto per partecipare a un'altra riunione del consiglio, ma quando me ne sono andato sono stato molto contento dei progressi e del desiderio dell'attuale consiglio di adattamento e cambiamento.
Perché i CISO dovrebbero preoccuparsi?
La grande domanda per i CISO e i professionisti della sicurezza è se qualcuno di questi giochi interni a OWASP sia davvero importante per loro. Secondo Wang, le decisioni e le azioni prese oggi dalla fondazione potrebbero non avere un impatto diretto sui CISO in questo momento. Ma potrebbe avere un effetto a catena a lungo termine che influenza il tipo di opzioni tecnologiche che avranno per aiutare gli sviluppatori a lungo termine.
"Ciò potrebbe tradursi in un migliore supporto delle tecnologie emergenti, che in futuro potrebbero influire sul modo in cui i professionisti adottano queste tecnologie", afferma.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/edge-articles/is-owasp-at-risk-of-irrelevance
- $10 milioni
- 000
- 10
- 2001
- 2011
- 2023
- 7
- a
- capace
- WRI
- Secondo
- Raggiungere
- Action
- azioni
- attivamente
- adattare
- aggiunto
- aggiunta
- Aggiunge
- adottare
- avvocato
- sostenitori
- Dopo shavasana, sedersi in silenzio; saluti;
- aggressivo
- agile
- Allinea
- Tutti
- da solo
- già
- sempre
- ambizioso
- tra
- ed
- Un altro
- apparire
- Applicazioni
- sicurezza delle applicazioni
- applicazioni
- approccio
- applicazioni
- discutere
- in giro
- garanzia
- attacco
- assistere
- Autenticazione
- autore
- consapevolezza
- precedente
- basato
- perché
- essendo
- crede
- Meglio
- fra
- Al di là di
- offerta
- Big
- Po
- tavola
- membro del consiglio
- Consiglio di Amministrazione
- Incremento
- Dezen Dezen
- Parte inferiore
- bolla
- costruire
- costruito
- Acquistare
- detto
- chiamata
- Campagna
- che
- casi
- centralizzata
- certamente
- catena
- Chair
- il cambiamento
- Modifiche
- Capitolo
- carica
- capo
- capo prodotto ufficiale
- strettamente
- Co-fondatore
- codifica
- collaborazione
- Comunicazione
- comunità
- componenti
- Problemi della Pelle
- interessato
- preoccupazioni
- considerando
- contesto
- continua
- continuo
- contrasto
- contributori
- Aziende
- potuto
- Creazione
- CTO
- Cultura
- Corrente
- Attualmente
- Cybersecurity
- giorno
- Giorni
- decennio
- decisioni
- dedicato
- decisamente
- Delaware
- consegnare
- consegna
- esigente
- Dipendente
- schierato
- sviluppato
- Costruttori
- sviluppatori
- Mercato
- DID
- direttamente
- Direttore
- Amministrazione
- scoperta
- dirompente
- distribuito
- dollari
- domini
- giù
- dozzina
- spinto
- guida
- durante
- Presto
- Istruzione
- effetto
- in maniera efficace
- sforzo
- eliminato
- incorporato
- enable
- Impresa
- aziende
- Intero
- Imprenditore
- Ambiente
- particolarmente
- eventi
- qualunque cosa
- esempio
- esecutivo
- Direttore esecutivo
- ampliato
- esperti
- estensivo
- Faccia
- Fattori
- abbastanza
- finanziare
- finanziario
- Trovate
- Nome
- nave ammiraglia
- difetti
- fiorire
- concentrato
- i seguenti
- Ex
- Avanti
- Fondazione
- Fondato
- fondatore
- attrito
- amichevole
- da
- Carburante
- pieno
- finanziamento
- Raccolta fondi
- Raccolta fondi
- fondi
- divario
- Generale
- Genesis
- ottenere
- GitHub
- Dare
- dato
- globali
- Go
- Obiettivi
- va
- andando
- buono
- la governance
- Gruppo
- Crescere
- cresciuto
- cura
- accadere
- successo
- avendo
- pesantemente
- Aiuto
- aiutare
- alto profilo
- superiore
- assumere
- Colpire
- Foro
- host
- padroni di casa
- Come
- HTTPS
- idea
- Impact
- di forte impatto
- impossibile
- competenze
- in
- incluso
- inclusi
- Compreso
- indipendentemente
- individui
- Infrastruttura
- iniziative
- Innovazione
- install
- interno
- Internet
- coinvolto
- IoT
- sicurezza
- IT
- elementi
- mantenere
- Le
- Genere
- lavoro
- Cognome
- con i più recenti
- Legge
- portare
- leader
- capi
- Lasciare
- lettera
- Livello
- tutta la vita
- linea
- linux
- fondazione linux
- Lista
- piccolo
- locale
- Lunghi
- a lungo termine
- Guarda
- lotto
- amore
- maggiore
- make
- FA
- gestire
- I gestori
- gestione
- molti
- marchio
- Matters
- maturità
- Maturity Model
- incontro
- incontri
- membro
- Utenti
- iscrizione
- metodi
- microservices
- forza
- milione
- milioni
- Missione
- Mobile
- mobili-apps
- modello
- modelli
- moderno
- mensile
- Scopri di più
- maggior parte
- in movimento
- reciproco
- necessariamente
- necessaria
- Bisogno
- esigenze
- GENERAZIONE
- Senza scopo di lucro
- numero
- numerose
- Responsabile
- ONE
- aprire
- open source
- operare
- operativo
- Opzioni
- organizzazione
- organizzazioni
- i
- Altro
- al di fuori
- proprio
- Pace
- parte
- partecipanti
- partecipare
- passato
- modelli
- Paga le
- pagamento
- Persone
- pezzo
- piano
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- contento
- punti
- lavori
- positivo
- pratiche
- presentata
- Dare priorità
- priorità
- probabilmente
- Problema
- problemi
- processi
- Prodotto
- Prodotti
- Scelto dai professionisti
- Progressi
- progetto
- progetti
- promette
- proposta
- proposte
- fornisce
- delega
- Pubblicazione
- pubblicato
- qualità
- domanda
- più veloce
- rapidamente
- radicalmente
- aumentare
- sollevato
- Rosso
- ridurre
- riflettere
- pertinente
- richiedere
- necessario
- Risorse
- Rispondere
- risposta
- colpevole
- Ripple
- Rischio
- lista
- Correre
- Suddetto
- stesso
- dice
- portata
- sicuro
- problemi di
- vede
- Servizi
- servizio
- set
- dovrebbero
- firmatari
- firmato
- significativa
- significativamente
- semplicemente
- da
- site
- Ardesia
- piccole
- So
- Software
- lo sviluppo del software
- alcuni
- qualcosa
- Fonte
- lo spazio
- velocità
- Sponsor
- STAFF
- tappe
- stakeholder
- Standard
- inizia a
- soggiorno
- rimasto
- Passi
- Ancora
- azione
- La struttura
- sostanziale
- di successo
- fornire
- supply chain
- supporto
- sostenitore
- Supporto
- SISTEMI DI TRATTAMENTO
- Fai
- presa
- Consulenza
- Tecnologie
- Tecnologia
- carnagione
- Il
- La linea
- I progetti
- il mondo
- loro
- cosa
- cose
- Terza
- questa settimana
- migliaia
- tre
- Attraverso
- tempo
- periodo di tempo
- a
- oggi
- pure
- strumenti
- top
- Top 10
- Top ten
- tradizionale
- Trasparenza
- Aggiornamenti
- us
- uso
- fornitori
- volontario
- Votazione
- vulnerabilità
- ricercato
- indossabili
- sito web
- applicazioni web
- siti web
- settimana
- Che
- se
- quale
- while
- OMS
- tutto
- più ampia
- volere
- disposto
- entro
- senza
- Ha vinto
- Lavora
- lavorato
- lavoro
- lavori
- mondo
- preoccupato
- sarebbe
- scrittura
- anno
- anni
- youtube
- Zeta
- zefiro
