OWASP は無関係のリスクにさらされていますか?

OWASP Foundation が 60 周年を迎えた今、多くのアプリケーション セキュリティの専門家と OWASP ボランティアの貢献者は、組織が関連性を維持するために大きな変更を加える時が来たと述べています。 今週、XNUMX を超える著名な OWASP メンバーのグループが、 公開書簡 OWASP の理事会と、財団の重要な変更を要求する財団の常務理事に。 これらの共同署名者の多くは、主要な OWASP プロジェクトのリーダー、生涯の貢献者、元 OWASP 理事会メンバーでした。

「OWASP はもはや革新を推進していません」と、Contrast Security の共同設立者で CTO の Jeff Williams 氏は言います。彼は最初の OWASP Top Ten の著者であり、2001 年から 2011 年まで OWASP の議長を務め、共同署名者の XNUMX 人でもありました。 「オープンソースは変化しており、OWASP はコントリビューターをより適切にサポートすることで後れを取らないようにする必要があります。」

署名者の中には、グレン・テン・ケイトとマーク・カーフィーの XNUMX 人の現在の取締役会メンバーも含まれていました。 Curphey は、手紙はグループ内の相互協力の結果であると述べていますが、それはまた、 彼が昨年発表したマニフェスト 2023年の理事会の議席への彼の落札の一環として。 OWASP の創設者として、Curphey はしばらくの間組織に直接関与していませんでしたが、セキュリティの実践者、セキュリティ製品のリーダー、およびアプリケーション セキュリティ分野の起業家として多忙を極めている間、常に OWASP の支持者および擁護者でした。 .

Curphey は、理事会の選挙運動中に次の XNUMX つの主要なポイントに焦点を当てました。

• OWASP の資金調達モデルを変更して、Linux Foundation とその Open Software Security Foundation が寄付者と協力してプロジェクトをサポートする方法に近づけるため、
• プロジェクトのクリーンアップ（および影響の大きいプロジェクトの優先順位付け）を主導する最高製品責任者を設置し、OWASP サイトを刷新して開発者にとってより使いやすいものにします。
• OWASP の文化を変えて官僚主義を排除し、ベンダーが OWASP の使命にどのように関与しているか (または関与していないか) の透明性を高めます。

公開書簡が響き渡る これらのポイントの多く、献身的な開発者やプロジェクトリーダーを雇うために数百万ドルを引き出すことができると彼らが感じている資金調達の抜本的な努力を促進する可能性のあるガバナンスの変更を求めている.

OWASP 昔と今

2001 年に OWASP が設立されたとき、それは、安全でない Web アプリケーションによってインターネットにもたらされるリスクが増大することを懸念していたアプリケーション セキュリティの支持者によって設立された、くだらない愛の労働でした。 彼らは、サイバーセキュリティのインサイダーのバブルの外で、問題に対する認識を高めたいと考えていました。 そのため、OWASP は、セキュリティの専門家だけでなく、開発者や企業の利害関係者にも教育とリソースを提供できるようにするために生まれました。

そのアイデアは、開発者がコーディング プラクティスを改善し、展開したソフトウェアの脆弱性のリスクを軽減できるようにする技術的なガイダンスを組織に提供することでした。 これが、グループの自慢のリストである OWASP トップ 10 の起源でした。 最もリスクの高い 10 の欠陥 2003 年に最初に公開されて以来、多数の更新プログラムとサブリストが作成され、多数のセキュリティ オープン ソース プロジェクト、商用製品、およびサービスの原動力となっているアプリケーションで使用されています。

それらの初期の頃から多くのことが変わりました。 OWASP の啓発活動は確実に成果を上げており、現在、このグループは 240 を超える支部と世界中の何万人ものメンバーと参加者をサポートするまでに成長しました。 ローカルおよびグローバルなイベントの完全なリストと、トップ 10、ソフトウェア アシュアランス成熟度モデル (SAMM)、Zed Attack Proxy (ZAP) などの多数のプロジェクトをホストします。

しかし、世界が Web アプリケーションをはるかに超えて移動し、モバイル アプリ、IoT と組み込みシステム、ウェアラブル、およびその間にあるすべてのもの (これらはすべてソフトウェアによって駆動される) であふれているため、行うべきアプリケーション セキュリティ作業の範囲は大幅に拡大しています。 .

また、開発環境も大きく変化しています。 最新の開発プラクティスでは、継続的インテグレーション/継続的デリバリー (CI/CD)、DevOps、アジャイル開発などの方法を採用して、従来のウォーターフォール開発パターンを引き継いでいます。 開発者は、マイクロサービス アーキテクチャに大きく依存し、オープン ソース コンポーネントを組み合わせてソフトウェアを構築しています。

残念ながら、こうしたすべての変化に直面して、いくつかのことは同じままです。 その最初の OWASP トップ 10 の問題の多くは、現在も同じように問題があり、インジェクションの欠陥、構成ミス、認証の失敗など、依然としてリストに載っています。 しかし現在、これらの厄介な問題は決して解消されず、拡張された範囲、開発の速度、および長年にわたってミックスに追加されたソフトウェア サプライ チェーンの依存関係のもつれによって悪化するだけです。

変化を求める声

これらの要因に関連して、多くの OWASP インサイダーは、非営利団体がソフトウェア開発の世界の変化のペースに追いついていないと主張しています。 彼らは、財団が OWASP コミュニティのニーズをサポートしていない、特に財団の 主力プロジェクトこれには、OWASP の 274 の他のプロジェクトの中に XNUMX 以上のプロジェクトが含まれています。

「過去に機能していたものが現在機能していないだけであり、OWASP を変更する必要があります。 年々懸念が提起され、変更の約束があったが、年々それは実現していない」と、OWASP理事会と財団の事務局長に宛てた公開書簡は述べた. 「私たちのプロジェクトとその周りのコミュニティが求めるものと、OWASP が提供するサポートとの間のギャップは、ますます広がり続けています。」

この最新の書簡の発行により、書簡の共同署名者は、OWASP の最も影響力のあるプロジェクト (多くの企業や企業が現在使用している製品に依存しているプロジェクト) のいくつかは、「独立して運営し、場合によっては独自のスポンサーシップを管理し、金融、ウェブサイト、ドメイン、コミュニケーション プラットフォーム、および開発者ツールです。」

署名者は、資金調達モデルとガバナンスを大幅に変更して、最新のソフトウェア配信モデルのコンテキストで開発者のニーズにサービスを提供できるようにすることを強く求めています。 彼らは、XNUMX つの主要なポイントからなる行動リストを作成し、財団と理事会に次のことを呼びかけました。

1. OSSF計画を参考にして、主要なイニシアチブに優先順位を付けるコミュニティ計画を策定する
2. 財団のガバナンス構造を「セキュリティ コミュニティ全体のニーズをよりよく反映する」ように変更する
3. 献身的な開発者、コミュニティ マネージャー、およびサポート スタッフに支払うために、5 万ドルから 10 万ドルを調達するための積極的な資金調達キャンペーンを確立します。
4. コミュニティがプロジェクトから熱を奪うための集中型インフラストラクチャとサービスを改善する
5. 製品ポートフォリオの管理と地方支部での進行をより集中的に管理する

ウィリアムズは、グループが要求した変更が「残念ながら必要」であると感じたため、署名したと言います。

「OWASP には、プロジェクトのニーズに基づいてボトムアップで構築された財務計画がないという明らかな穴があります」と彼は言います。 「それがなければ、効果的な資金調達は不可能です。 積極的な資金調達計画を作成し、大きな資金調達を行い、より積極的なプロジェクトに取り組むことが、OWASP を迅速に動かし続ける唯一の方法です。」

次のステップの現実

問題は、財団と OWASP コミュニティがこれらの変更を行う意思と能力があるかどうかです。 によると チェンシー・ワン元 OWASP 理事会メンバーである彼女は、OWASP がイベントを運営する以上のことをしない組織に委譲されたと考えているため、提案には「非常に必要とされている」多くの項目があります。

「しかし、他のいくつかの項目は、ボランティア委員会と少数の運営スタッフを持つ OWASP にとって野心的すぎるようです。 たとえば、「プロジェクト ポートフォリオとチャプターを積極的に管理する」という項目は、今後かなりの労力を必要とし、財団が現在のリソースでできることではないかもしれません」と彼女は言います。 「また、優先プロジェクトへの資金提供に関する提案は、現在のモデルの変更を必要とし、新しいプロジェクトの権利を剥奪する可能性があります。」

彼女が見ているように、この提案は、資金調達モデル、コミュニティ モデル、および資金の分配方法を大幅に変更する必要があると考えています。

「これらすべてを一挙に行うのは、破壊的すぎるでしょう」と Wang 氏は言います。 「段階的なアプローチが、これを実現する唯一の方法です。」

OWASP 財団の事務局長 Andrew van der Stock 氏は、手紙の多くの点に同意すると述べています。 手紙が発行された翌日、財団の月例理事会で提案が提示されました。 彼は、会議はうまくいったと言い、取締役会が信任義務の一環として優先順位の高い計画を設定する必要があることに同意します。

「提示された方法を超えて、私たちが反対するものは何もありません」と彼は手紙について言います。 「30日以内に計画を立てることは間違いなく実行可能だと思います。 私の主な懸念は、プロジェクトが達成を望んでいる時間枠内に XNUMX つの目標すべてを達成できない場合です。」

彼はまた、理事会の現在の細則と OWASP コミュニティの有料メンバーの意志が、共同署名者が望む種類のガバナンスと資金調達の変更を可能にするかどうか疑問に思っています。 たとえば、OWASP は現在、企業メンバーシップを通じて議席を購入し、それらの議席を維持するために多額の費用を支払うメンバーで構成される理事会を持っている OSSF 組織のようには設定されていません。 OWASP には現在、イベント、支部会議、プロジェクトを通じてコミュニティに参加している 7,000 人に加えて、約 80,000 人の金融メンバーがいます。 この有料メンバーシップには、年間 50 ドルを支払う個人、500 ドルを支払う終身メンバー、5,000 ドル以上を支払う企業スポンサーが含まれ、提供したいサポートのレベルに応じて異なります。

「私たちのコミュニティがその変化を支持するとは思いません。 これは少し非現実的であると私が考えるものの XNUMX つです」と van der Stock 氏は述べ、この種の変更には OWASP 細則の変更が必要になるだろうと付け加えました。デラウェア州の一般企業法に従って元の細則が無効であることが約 XNUMX 年前に発見されたことを受けて、一連の「かなり標準的な」非営利の細則が作成されました。 その通常の手順だけでも、一般会員による投票を含む広範なプロセスが必要でした。

それにもかかわらず、van der Stock 氏は、理事会がより多くの資金を集める方法を見つけられれば、OWASP は確実に繁栄する可能性があると述べています。

「年間 5 万ドルから 10 万ドルを稼ぐことができれば、多くのことを成し遂げることができます。 人々をフルタイムでプロジェクトに取り組ませることができれば、これらのプロジェクトはより迅速に、おそらくより質の高いものになるでしょう。」 「本当に唯一の摩擦であり、異議を唱えられる可能性のある唯一のものは、ガバナンスモデルだと思います。 私たちのコミュニティは、それについて多くのことを言うべきだと思います。」

これはウィリアムズも懸念している。

「現在のガバナンス構造を考えると、OWASP が手紙に応じることができないのではないかと心配しています」と彼は言います。

しかし、Curphey 氏によると、取締役会は、チェンジ メーカーの提案を整理し、次のステップを検討するための良いスタートでした。

「取締役会は前向きなものでした」と彼は言います。 「まだ先は長いが、様子を見よう。 別の理事会に出席するために早退しなければなりませんでしたが、退社したときは、現在の理事会の進歩と適応と変化への意欲に非常に満足していました。」

CISO が気にする必要があるのはなぜですか?

CISO とセキュリティ担当者にとっての大きな問題は、OWASP でのこの内部の騒動が本当に彼らにとって重要かどうかということです。 Wang 氏によると、財団が今日下す決定と行動は、現時点で CISO に直接影響を与えるとは限りません。 しかし、それは長期的に波及効果をもたらし、長期的には開発者を支援するための技術オプションの種類に影響を与える可能性があります.

「これにより、新しいテクノロジーのサポートが向上する可能性があり、将来的には、開業医がこれらのテクノロジーを採用する方法に影響を与える可能性があります」と彼女は言います.

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/edge-articles/is-owasp-at-risk-of-irrelevance