OWASP Foundation が 60 周年を迎えた今、多くのアプリケーション セキュリティの専門家と OWASP ボランティアの貢献者は、組織が関連性を維持するために大きな変更を加える時が来たと述べています。 今週、XNUMX を超える著名な OWASP メンバーのグループが、 公開書簡 OWASP の理事会と、財団の重要な変更を要求する財団の常務理事に。 これらの共同署名者の多くは、主要な OWASP プロジェクトのリーダー、生涯の貢献者、元 OWASP 理事会メンバーでした。
「OWASP はもはや革新を推進していません」と、Contrast Security の共同設立者で CTO の Jeff Williams 氏は言います。彼は最初の OWASP Top Ten の著者であり、2001 年から 2011 年まで OWASP の議長を務め、共同署名者の XNUMX 人でもありました。 「オープンソースは変化しており、OWASP はコントリビューターをより適切にサポートすることで後れを取らないようにする必要があります。」
署名者の中には、グレン・テン・ケイトとマーク・カーフィーの XNUMX 人の現在の取締役会メンバーも含まれていました。 Curphey は、手紙はグループ内の相互協力の結果であると述べていますが、それはまた、 彼が昨年発表したマニフェスト 2023年の理事会の議席への彼の落札の一環として。 OWASP の創設者として、Curphey はしばらくの間組織に直接関与していませんでしたが、セキュリティの実践者、セキュリティ製品のリーダー、およびアプリケーション セキュリティ分野の起業家として多忙を極めている間、常に OWASP の支持者および擁護者でした。 .
Curphey は、理事会の選挙運動中に次の XNUMX つの主要なポイントに焦点を当てました。
- OWASP の資金調達モデルを変更して、Linux Foundation とその Open Software Security Foundation が寄付者と協力してプロジェクトをサポートする方法に近づけるため、
- プロジェクトのクリーンアップ(および影響の大きいプロジェクトの優先順位付け)を主導する最高製品責任者を設置し、OWASP サイトを刷新して開発者にとってより使いやすいものにします。
- OWASP の文化を変えて官僚主義を排除し、ベンダーが OWASP の使命にどのように関与しているか (または関与していないか) の透明性を高めます。
公開書簡が響き渡る これらのポイントの多く、献身的な開発者やプロジェクトリーダーを雇うために数百万ドルを引き出すことができると彼らが感じている資金調達の抜本的な努力を促進する可能性のあるガバナンスの変更を求めている.
OWASP 昔と今
2001 年に OWASP が設立されたとき、それは、安全でない Web アプリケーションによってインターネットにもたらされるリスクが増大することを懸念していたアプリケーション セキュリティの支持者によって設立された、くだらない愛の労働でした。 彼らは、サイバーセキュリティのインサイダーのバブルの外で、問題に対する認識を高めたいと考えていました。 そのため、OWASP は、セキュリティの専門家だけでなく、開発者や企業の利害関係者にも教育とリソースを提供できるようにするために生まれました。
そのアイデアは、開発者がコーディング プラクティスを改善し、展開したソフトウェアの脆弱性のリスクを軽減できるようにする技術的なガイダンスを組織に提供することでした。 これが、グループの自慢のリストである OWASP トップ 10 の起源でした。 最もリスクの高い 10 の欠陥 2003 年に最初に公開されて以来、多数の更新プログラムとサブリストが作成され、多数のセキュリティ オープン ソース プロジェクト、商用製品、およびサービスの原動力となっているアプリケーションで使用されています。
それらの初期の頃から多くのことが変わりました。 OWASP の啓発活動は確実に成果を上げており、現在、このグループは 240 を超える支部と世界中の何万人ものメンバーと参加者をサポートするまでに成長しました。 ローカルおよびグローバルなイベントの完全なリストと、トップ 10、ソフトウェア アシュアランス成熟度モデル (SAMM)、Zed Attack Proxy (ZAP) などの多数のプロジェクトをホストします。
しかし、世界が Web アプリケーションをはるかに超えて移動し、モバイル アプリ、IoT と組み込みシステム、ウェアラブル、およびその間にあるすべてのもの (これらはすべてソフトウェアによって駆動される) であふれているため、行うべきアプリケーション セキュリティ作業の範囲は大幅に拡大しています。 .
また、開発環境も大きく変化しています。 最新の開発プラクティスでは、継続的インテグレーション/継続的デリバリー (CI/CD)、DevOps、アジャイル開発などの方法を採用して、従来のウォーターフォール開発パターンを引き継いでいます。 開発者は、マイクロサービス アーキテクチャに大きく依存し、オープン ソース コンポーネントを組み合わせてソフトウェアを構築しています。
残念ながら、こうしたすべての変化に直面して、いくつかのことは同じままです。 その最初の OWASP トップ 10 の問題の多くは、現在も同じように問題があり、インジェクションの欠陥、構成ミス、認証の失敗など、依然としてリストに載っています。 しかし現在、これらの厄介な問題は決して解消されず、拡張された範囲、開発の速度、および長年にわたってミックスに追加されたソフトウェア サプライ チェーンの依存関係のもつれによって悪化するだけです。
変化を求める声
これらの要因に関連して、多くの OWASP インサイダーは、非営利団体がソフトウェア開発の世界の変化のペースに追いついていないと主張しています。 彼らは、財団が OWASP コミュニティのニーズをサポートしていない、特に財団の 主力プロジェクトこれには、OWASP の 274 の他のプロジェクトの中に XNUMX 以上のプロジェクトが含まれています。
「過去に機能していたものが現在機能していないだけであり、OWASP を変更する必要があります。 年々懸念が提起され、変更の約束があったが、年々それは実現していない」と、OWASP理事会と財団の事務局長に宛てた公開書簡は述べた. 「私たちのプロジェクトとその周りのコミュニティが求めるものと、OWASP が提供するサポートとの間のギャップは、ますます広がり続けています。」
この最新の書簡の発行により、書簡の共同署名者は、OWASP の最も影響力のあるプロジェクト (多くの企業や企業が現在使用している製品に依存しているプロジェクト) のいくつかは、「独立して運営し、場合によっては独自のスポンサーシップを管理し、金融、ウェブサイト、ドメイン、コミュニケーション プラットフォーム、および開発者ツールです。」
署名者は、資金調達モデルとガバナンスを大幅に変更して、最新のソフトウェア配信モデルのコンテキストで開発者のニーズにサービスを提供できるようにすることを強く求めています。 彼らは、XNUMX つの主要なポイントからなる行動リストを作成し、財団と理事会に次のことを呼びかけました。
- OSSF計画を参考にして、主要なイニシアチブに優先順位を付けるコミュニティ計画を策定する
- 財団のガバナンス構造を「セキュリティ コミュニティ全体のニーズをよりよく反映する」ように変更する
- 献身的な開発者、コミュニティ マネージャー、およびサポート スタッフに支払うために、5 万ドルから 10 万ドルを調達するための積極的な資金調達キャンペーンを確立します。
- コミュニティがプロジェクトから熱を奪うための集中型インフラストラクチャとサービスを改善する
- 製品ポートフォリオの管理と地方支部での進行をより集中的に管理する
ウィリアムズは、グループが要求した変更が「残念ながら必要」であると感じたため、署名したと言います。
「OWASP には、プロジェクトのニーズに基づいてボトムアップで構築された財務計画がないという明らかな穴があります」と彼は言います。 「それがなければ、効果的な資金調達は不可能です。 積極的な資金調達計画を作成し、大きな資金調達を行い、より積極的なプロジェクトに取り組むことが、OWASP を迅速に動かし続ける唯一の方法です。」
次のステップの現実
問題は、財団と OWASP コミュニティがこれらの変更を行う意思と能力があるかどうかです。 によると チェンシー・ワン元 OWASP 理事会メンバーである彼女は、OWASP がイベントを運営する以上のことをしない組織に委譲されたと考えているため、提案には「非常に必要とされている」多くの項目があります。
「しかし、他のいくつかの項目は、ボランティア委員会と少数の運営スタッフを持つ OWASP にとって野心的すぎるようです。 たとえば、「プロジェクト ポートフォリオとチャプターを積極的に管理する」という項目は、今後かなりの労力を必要とし、財団が現在のリソースでできることではないかもしれません」と彼女は言います。 「また、優先プロジェクトへの資金提供に関する提案は、現在のモデルの変更を必要とし、新しいプロジェクトの権利を剥奪する可能性があります。」
彼女が見ているように、この提案は、資金調達モデル、コミュニティ モデル、および資金の分配方法を大幅に変更する必要があると考えています。
「これらすべてを一挙に行うのは、破壊的すぎるでしょう」と Wang 氏は言います。 「段階的なアプローチが、これを実現する唯一の方法です。」
OWASP 財団の事務局長 Andrew van der Stock 氏は、手紙の多くの点に同意すると述べています。 手紙が発行された翌日、財団の月例理事会で提案が提示されました。 彼は、会議はうまくいったと言い、取締役会が信任義務の一環として優先順位の高い計画を設定する必要があることに同意します。
「提示された方法を超えて、私たちが反対するものは何もありません」と彼は手紙について言います。 「30日以内に計画を立てることは間違いなく実行可能だと思います。 私の主な懸念は、プロジェクトが達成を望んでいる時間枠内に XNUMX つの目標すべてを達成できない場合です。」
彼はまた、理事会の現在の細則と OWASP コミュニティの有料メンバーの意志が、共同署名者が望む種類のガバナンスと資金調達の変更を可能にするかどうか疑問に思っています。 たとえば、OWASP は現在、企業メンバーシップを通じて議席を購入し、それらの議席を維持するために多額の費用を支払うメンバーで構成される理事会を持っている OSSF 組織のようには設定されていません。 OWASP には現在、イベント、支部会議、プロジェクトを通じてコミュニティに参加している 7,000 人に加えて、約 80,000 人の金融メンバーがいます。 この有料メンバーシップには、年間 50 ドルを支払う個人、500 ドルを支払う終身メンバー、5,000 ドル以上を支払う企業スポンサーが含まれ、提供したいサポートのレベルに応じて異なります。
「私たちのコミュニティがその変化を支持するとは思いません。 これは少し非現実的であると私が考えるものの XNUMX つです」と van der Stock 氏は述べ、この種の変更には OWASP 細則の変更が必要になるだろうと付け加えました。デラウェア州の一般企業法に従って元の細則が無効であることが約 XNUMX 年前に発見されたことを受けて、一連の「かなり標準的な」非営利の細則が作成されました。 その通常の手順だけでも、一般会員による投票を含む広範なプロセスが必要でした。
それにもかかわらず、van der Stock 氏は、理事会がより多くの資金を集める方法を見つけられれば、OWASP は確実に繁栄する可能性があると述べています。
「年間 5 万ドルから 10 万ドルを稼ぐことができれば、多くのことを成し遂げることができます。 人々をフルタイムでプロジェクトに取り組ませることができれば、これらのプロジェクトはより迅速に、おそらくより質の高いものになるでしょう。」 「本当に唯一の摩擦であり、異議を唱えられる可能性のある唯一のものは、ガバナンスモデルだと思います。 私たちのコミュニティは、それについて多くのことを言うべきだと思います。」
これはウィリアムズも懸念している。
「現在のガバナンス構造を考えると、OWASP が手紙に応じることができないのではないかと心配しています」と彼は言います。
しかし、Curphey 氏によると、取締役会は、チェンジ メーカーの提案を整理し、次のステップを検討するための良いスタートでした。
「取締役会は前向きなものでした」と彼は言います。 「まだ先は長いが、様子を見よう。 別の理事会に出席するために早退しなければなりませんでしたが、退社したときは、現在の理事会の進歩と適応と変化への意欲に非常に満足していました。」
CISO が気にする必要があるのはなぜですか?
CISO とセキュリティ担当者にとっての大きな問題は、OWASP でのこの内部の騒動が本当に彼らにとって重要かどうかということです。 Wang 氏によると、財団が今日下す決定と行動は、現時点で CISO に直接影響を与えるとは限りません。 しかし、それは長期的に波及効果をもたらし、長期的には開発者を支援するための技術オプションの種類に影響を与える可能性があります.
「これにより、新しいテクノロジーのサポートが向上する可能性があり、将来的には、開業医がこれらのテクノロジーを採用する方法に影響を与える可能性があります」と彼女は言います.
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/edge-articles/is-owasp-at-risk-of-irrelevance
- 10万ドル
- 000
- 10
- 2001
- 2011
- 2023
- 7
- a
- できる
- 私たちについて
- 従った
- 達成する
- Action
- 行動
- 積極的に
- 適応する
- 追加されました
- 添加
- 追加
- 採用
- 支持者
- 擁護
- 後
- 積極的な
- 使い勝手のいい
- 整列
- すべて
- 一人で
- 既に
- 常に
- 野心的な
- 間で
- および
- 別の
- 現れる
- 申し込み
- アプリケーションセキュリティ
- アプローチ
- アプリ
- 主張する
- 周りに
- 保証
- 攻撃
- 出席する
- 認証
- 著者
- 認知度
- バック
- ベース
- なぜなら
- さ
- と考えています
- より良いです
- の間に
- 越えて
- 入札
- ビッグ
- ビット
- ボード
- 役員
- 取締役会
- ブースト
- 生まれる
- ボトム
- バブル
- ビルド
- 内蔵
- 購入
- 呼ばれます
- 呼び出し
- キャンペーン
- これ
- 例
- 集中型の
- 確かに
- チェーン
- 椅子
- 変化する
- 変更
- 章
- チャージ
- チーフ
- チーフプロダクトオフィサー
- 密接に
- 共同創設者
- コーディング
- 環境、テクノロジーを推奨
- コマーシャル
- コミュニケーション
- コミュニティ
- コンポーネント
- 懸念
- 心配
- 懸念事項
- 考えると
- コンテキスト
- 続ける
- 連続的な
- コントラスト
- 貢献者
- 企業
- 可能性
- 作成
- CTO
- 文化
- 電流プローブ
- 現在
- サイバーセキュリティ
- 中
- 日
- 十年
- 決定
- 専用の
- 絶対に
- デラウェア
- 配信する
- 配達
- 厳しい
- によっては
- 展開
- 発展した
- Developer
- 開発者
- 開発
- DID
- 直接に
- 取締役
- 取締役
- 発見
- 破壊的な
- 配布
- ドル
- ドメイン
- ダウン
- ダース
- ドリブン
- 運転
- 間に
- 早い
- 教育
- 効果
- 効果的に
- 努力
- 排除する
- 埋め込まれた
- enable
- Enterprise
- 企業
- 全体
- 起業家
- 環境
- 特に
- イベント
- すべてのもの
- 例
- エグゼクティブ
- エグゼクティブ·ディレクター
- 拡大
- 専門家
- 広範囲
- 顔
- 要因
- かなり
- ファイナンス
- ファイナンシャル
- もう完成させ、ワークスペースに掲示しましたか?
- 名
- 旗艦
- 欠陥
- 頭角を現す
- 焦点を当て
- フォロー中
- 前者
- フォワード
- Foundation
- 設立
- AIとMoku
- 摩擦
- 優しい
- から
- ガソリンタンク
- フル
- 資金調達
- 資金調達
- 募金
- 資金
- ギャップ
- 創世記
- 取得する
- GitHubの
- 与える
- 与えられた
- グローバル
- Go
- 目標
- ゴエス
- 行く
- 良い
- ガバナンス
- グループ
- 成長する
- 成長した
- ハンド
- 起こる
- が起こった
- 持って
- 重く
- 助けます
- 助け
- 人目を引く
- より高い
- 雇う
- ヒット
- ホール
- host
- ホスト
- 認定条件
- HTTPS
- アイデア
- 影響
- 衝撃的
- 不可能
- 改善します
- in
- 含まれました
- 含ま
- 含めて
- 単独で
- 個人
- インフラ関連事業
- イニシアチブ
- 革新的手法
- install
- 内部
- インターネット
- 関係する
- IOT
- 問題
- IT
- リーディングシート
- キープ
- キー
- 種類
- 労働
- 姓
- 最新の
- 法律
- つながる
- リーダー
- リーダー
- コメントを残す
- 手紙
- レベル
- 一生
- LINE
- linuxの
- linux foundation
- リスト
- 少し
- ローカル
- 長い
- 長期的
- 見て
- たくさん
- 愛
- 主要な
- make
- 作る
- 管理します
- マネージャー
- 管理する
- 多くの
- マーク
- 事態
- 満期
- 成熟度モデル
- ご相談
- ミーティング
- メンバー
- メンバー
- メンバーシップ
- メソッド
- マイクロサービス
- かもしれない
- 百万
- 何百万
- ミッション
- モバイル
- モバイルアプリ
- モデル
- モダン
- monthly
- 他には?
- 最も
- 移動する
- 相互
- 必ずしも
- 必要
- 必要
- ニーズ
- 次の
- 非営利の
- 数
- 多数の
- 役員
- ONE
- 開いた
- オープンソース
- 操作する
- オペレーティング
- オプション
- 組織
- 組織
- オリジナル
- その他
- 外側
- 自分の
- 平和
- 部
- 参加者
- 参加する
- 過去
- パターン
- 支払う
- 支払い
- のワークプ
- ピース
- 計画
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 喜んだ
- ポイント
- ポートフォリオ
- 正の
- プラクティス
- PLM platform.
- 優先順位をつける
- 優先順位付けされた
- 多分
- 問題
- 問題
- プロセス
- プロダクト
- 製品
- 専門家
- 進捗
- プロジェクト
- プロジェクト(実績作品)
- 約束
- 提案
- 提案
- は、大阪で
- 代理
- 出版
- 公表
- 品質
- 質問
- より速い
- すぐに
- 根本的に
- 上げる
- 隆起した
- レッド
- 減らします
- 反映する
- 関連した
- 必要とする
- の提出が必要です
- リソース
- 反応します
- 応答
- 結果
- Ripple
- リスク
- 名簿
- ラン
- 前記
- 同じ
- 言う
- スコープ
- 安全に
- セキュリティ
- 見て
- サービス
- サービング
- セッションに
- すべき
- 署名者
- 署名されました
- 重要
- 著しく
- 単に
- から
- ウェブサイト
- スレート
- 小さい
- So
- ソフトウェア
- ソフトウェア開発
- 一部
- 何か
- ソース
- スペース
- スピード
- スポンサー
- スタッフ
- ステージ
- ステークホルダー
- 標準
- start
- 滞在
- 滞在した
- ステップ
- まだ
- 株式
- 構造
- かなりの
- 成功した
- 供給
- サプライチェーン
- サポート
- サポーター
- 支援する
- システム
- 取る
- 取得
- 技術的
- テクノロジー
- テクノロジー
- 10
- この線
- プロジェクト
- 世界
- アプリ環境に合わせて
- もの
- 物事
- 三番
- 今週
- 数千
- 三
- 介して
- 時間
- 時間枠
- 〜へ
- 今日
- あまりに
- 豊富なツール群
- top
- トップ10
- トップテン
- 伝統的な
- 透明性
- 更新版
- us
- つかいます
- ベンダー
- name
- 投票
- 脆弱性
- wanted
- ウェアラブル
- ウェブ
- Webアプリケーション
- ウェブサイト
- 週間
- この試験は
- かどうか
- which
- while
- 誰
- 全体
- より広い
- 意志
- 喜んで
- 以内
- 無し
- 勝った
- 仕事
- 働いていました
- ワーキング
- 作品
- 世界
- 心配して
- でしょう
- 書き込み
- 年
- 年
- ユーチューブ
- ゼッド
- ゼファーネット