OWASP가 부적절할 위험이 있습니까?

OWASP 재단이 60주년을 맞이함에 따라 많은 애플리케이션 보안 전문가와 OWASP 자원 봉사자들은 조직이 관련성을 유지하기 위해 몇 가지 큰 변화를 만들어야 할 때라고 말합니다. 이번 주에 XNUMX명이 넘는 유명 OWASP 회원 그룹이 공개 서한 재단에 중대한 변화를 요구하는 OWASP 이사회와 재단의 전무 이사에게. 이러한 공동 서명자 중 다수는 주요 OWASP 프로젝트의 리더, 평생 기여자 및 이전 OWASP 이사회 멤버였습니다.

“OWASP는 더 이상 혁신을 주도하지 않습니다. "오픈 소스가 바뀌었고 OWASP는 기여자를 더 잘 지원하여 따라잡아야 합니다."

서명자 중에는 Glenn ten Cate와 Mark Curphey라는 두 명의 현 이사도 있었습니다. Curphey는 편지가 그룹 내 상호 협력의 결과라고 말하지만 그가 작년에 발표한 선언문 2023년 이사회 의석에 대한 그의 성공적인 입찰의 일환으로. OWASP의 창립자로서 Curphey는 한동안 조직에 직접 관여하지 않았지만 애플리케이션 보안 공간에서 보안 실무자, 보안 제품 리더 및 기업가로 바쁘게 지내는 동안 항상 OWASP의 지지자이자 옹호자였습니다. .

Curphey는 이사회에서 캠페인을 진행하는 동안 다음 세 가지 주요 사항에 중점을 두었습니다.

• OWASP의 자금 조달 모델을 Linux Foundation 및 Open Software Security Foundation이 프로젝트를 지원하기 위해 기부자와 협력하는 방식과 유사하게 변경하는 것,
• 최고 제품 책임자를 임명하여 프로젝트 정리(및 영향이 큰 프로젝트의 우선 순위 지정)를 담당하고 OWASP 사이트를 개조하여 개발자 친화적으로 만들기
• OWASP의 문화를 변경하여 관료주의를 없애고 공급업체가 OWASP 임무에 참여하는 방식에 더 많은 투명성을 추가합니다.

열린 편지가 울린다 이 많은 포인트, 헌신적인 개발자와 프로젝트 리더를 고용하기 위해 수백만 달러를 끌어들일 수 있다고 생각하는 기금 모금에 과감한 노력을 촉발할 수 있는 거버넌스의 변화를 요구하면서.

OWASP 그때와 지금

OWASP가 2001년에 설립되었을 때, OWASP는 안전하지 않은 웹 애플리케이션으로 인해 인터넷에 가해지는 위험 증가에 대해 우려하는 애플리케이션 보안 지지자들에 의해 설립된 허접한 사랑의 노동이었습니다. 그들은 사이버 보안 내부자의 거품 밖에서 문제에 대한 인식을 높이고 싶었습니다. 따라서 OWASP는 보안 전문가뿐만 아니라 개발자 및 기업 이해관계자에게 교육 및 리소스를 제공하는 데 도움을 주기 위해 탄생했습니다.

아이디어는 개발자가 코딩 방식을 개선하고 배포한 소프트웨어의 취약성 위험을 줄일 수 있도록 조직에 기술 지침을 제공하는 것이었습니다. 이것은 OWASP Top 10의 기원이었으며, 그룹이 자랑하는 가장 위험한 결함 10가지 2003년에 처음 공개된 애플리케이션에서 수많은 업데이트와 하위 목록이 생성되었으며 전체 호스트의 보안 오픈 소스 프로젝트, 상용 제품 및 서비스에 연료를 공급했습니다.

그 초창기 이후로 많은 것들이 변했습니다. OWASP의 인식 부분은 확실히 목표를 달성했으며 오늘날 그룹은 전 세계 240개 이상의 지부와 수만 명의 회원 및 참가자를 지원할 정도로 성장했습니다. 전체 지역 및 글로벌 이벤트와 Top 10, SAMM(Software Assurance Maturity Model) 및 ZAP(Zed Attack Proxy)와 같은 여러 프로젝트를 주최합니다.

그러나 세계가 웹 애플리케이션을 넘어 모바일 앱, IoT 및 임베디드 시스템, 웨어러블 및 그 사이의 모든 것으로 넘쳐나면서 수행해야 할 애플리케이션 보안 작업의 범위는 상당히 넓어졌습니다. 이 모든 것은 소프트웨어에 의해 구동됩니다. .

그리고 개발 환경도 근본적으로 바뀌었습니다. 최신 개발 방식은 CI/CD(지속적인 통합/지속적인 전달), DevOps 및 Agile 개발과 같은 방법을 채택하여 기존의 폭포수 개발 패턴을 이어받았습니다. 개발자는 마이크로서비스 아키텍처에 크게 의존하고 오픈 소스 구성 요소를 혼합하여 소프트웨어를 구축합니다.

불행히도 그 모든 변화에도 불구하고 어떤 것들은 그대로 유지되었습니다. 첫 번째 OWASP Top 10에 대한 많은 문제는 주입 결함, 잘못된 구성 및 인증 실패를 포함하여 오늘날에도 여전히 문제가 있으며 여전히 목록에 있습니다. 그러나 결코 사라지지 않은 이러한 잔소리하는 문제는 확장된 범위, 개발 속도 및 수년에 걸쳐 혼합에 추가된 소프트웨어 공급망 종속성의 얽힘으로 인해 악화될 뿐입니다.

변화에 대한 아우성

이러한 요인의 맥락에서 많은 OWASP 내부자들은 비영리 단체가 소프트웨어 개발 세계의 변화 속도를 따라가지 못했다고 주장합니다. 그들은 재단이 특히 재단의 주력 프로젝트, OWASP의 다른 274개 프로젝트 중 XNUMX개 이상의 프로젝트를 포함합니다.

“과거에 효과가 있었던 것은 지금은 효과가 없으며 OWASP는 변경해야 합니다. 해마다 우려가 제기되었고 변화에 대한 약속이 있었지만 해마다 그런 일은 일어나지 않았습니다.”라고 OWASP 이사회와 재단의 전무 이사에게 보낸 공개 서한에서 말했습니다. "우리 프로젝트와 주변 커뮤니티가 원하는 것과 OWASP가 제공하는 지원 사이의 격차는 점점 더 커지고 있습니다."

이 최신 서신의 발행과 함께 편지의 공동 서명자들은 OWASP의 가장 영향력 있는 프로젝트 중 일부(많은 기업과 기업이 오늘날 사용하는 제품에 의존하는 프로젝트)가 "독립적으로 운영되고 경우에 따라 자체 후원을 관리하며, 금융, 웹 사이트, 도메인, 커뮤니케이션 플랫폼 및 개발자 도구.”

서명자들은 그룹이 최신 소프트웨어 제공 모델의 맥락에서 개발자의 요구에 다시 부응할 수 있도록 자금 조달 모델과 거버넌스의 급격한 변화를 요구하고 있습니다. 그들은 다섯 가지 주요 사항으로 구성된 조치 목록을 개발하여 재단과 이사회를 다음과 같이 부릅니다.

1. OSSF 계획을 참고로 삼아 주요 이니셔티브를 우선시하는 커뮤니티 계획을 개발합니다.
2. 재단의 거버넌스 구조를 "전체 보안 커뮤니티의 요구를 더 잘 반영"하도록 변경
3. 전담 개발자, 커뮤니티 관리자 및 지원 직원을 위한 비용을 지불하기 위해 5만 달러에서 10만 달러를 모으는 공격적인 자금 조달 캠페인을 수립합니다.
4. 커뮤니티가 프로젝트의 열기를 식힐 수 있도록 중앙 집중식 인프라와 서비스를 개선합니다.
5. 제품 포트폴리오 및 지역 지부에서 진행되는 일을 관리하는 데 보다 중앙집중화된 손을 잡습니다.

윌리엄스는 그룹이 요구하는 변화가 "불행하게도 필요하다"고 느꼈기 때문에 서명했다고 말했습니다.

"OWASP는 프로젝트 요구 사항에 따라 상향식으로 재무 계획을 세우지 않는다는 점에서 눈에 띄는 구멍이 있습니다."라고 그는 말합니다. “그것 없이는 효과적인 자금 조달이 불가능합니다. 공격적인 자금 조달 계획을 작성하고 대규모 자금 증액을 진행하며 보다 공격적인 프로젝트를 수행하는 것이 OWASP를 빠르게 움직이는 유일한 방법입니다.”

다음 단계 현실

문제는 재단과 OWASP 커뮤니티가 이러한 변화 중 일부를 기꺼이 그리고 할 수 있는지 여부입니다. 에 따르면 왕첸시, 전 OWASP 이사회 멤버인 그녀는 OWASP가 행사를 운영하는 것보다 더 많은 일을 하지 않는 조직으로 전락했다고 믿기 때문에 제안서에 "많이 필요한" 항목이 많이 있습니다.

“그러나 다른 항목 중 일부는 자원봉사 이사회와 소규모 운영 직원이 있는 OWASP에 대해 너무 야심찬 것 같습니다. 예를 들어, '프로젝트 포트폴리오와 챕터를 적극적으로 관리'하는 항목은 앞으로 상당한 노력이 필요할 것인데, 이는 재단이 오늘날의 자원으로 할 수 있는 일이 아닐 수도 있습니다.”라고 그녀는 말합니다. "또한 우선 순위가 지정된 프로젝트 자금 조달에 대한 제안은 오늘날의 모델을 변경해야 하며 새로운 프로젝트에 대한 권한을 박탈할 수 있습니다."

그녀가 보기에 이 제안은 자금 조달 모델, 커뮤니티 모델 및 자금 분배 방식에 대한 급격한 변화를 요구할 것입니다.

"이 모든 것을 한 번에 수행하는 것은 너무 파괴적일 것입니다."라고 Wang은 말합니다. "단계적 접근만이 이를 가능하게 하는 유일한 방법입니다."

OWASP 재단의 Andrew van der Stock 이사는 편지의 많은 부분에 동의한다고 말했습니다. 편지가 발행된 다음 날 재단의 월례 이사회에서 제안이 발표되었습니다. 그는 회의가 잘 진행되었으며 이사회가 신탁 의무의 일환으로 우선순위 계획을 수립해야 한다는 데 동의한다고 말했습니다.

"제시된 방식 외에는 우리가 동의하지 않는 것이 없습니다."라고 그는 편지에 대해 말합니다. “30일 이내에 계획을 세우는 것은 확실히 할 수 있다고 생각합니다. 제 주요 관심사는 프로젝트에서 달성하기를 원하는 기간 내에 다섯 가지 목표를 모두 달성하지 못하는 것입니다.”

그는 또한 이사회의 현행 조례와 OWASP 커뮤니티의 유료 구성원의 의지가 공동 서명자가 원하는 거버넌스 및 자금 지원 변경을 허용할지 궁금합니다. 예를 들어, OWASP는 OSSF 조직과 같은 방식으로 설정되지 않았습니다. OSSF 조직에는 현재 기업 멤버십을 통해 자리를 구매하고 해당 자리를 유지하기 위해 상당한 비용을 지불하는 구성원으로 구성된 이사회가 있습니다. OWASP에는 현재 이벤트, 지부 회의 및 프로젝트를 통해 커뮤니티에 참여하는 7,000명 외에 약 80,000명의 재정 회원이 있습니다. 유료 멤버십에는 연간 $50를 지불하는 개인, $500를 지불하는 평생 회원 및 $5,000 이상을 지불하는 기업 스폰서가 포함됩니다.

“저는 우리 커뮤니티가 그러한 변화를 지지할 것이라고 생각하지 않습니다. 약간 비현실적이라고 생각하는 것 중 하나입니다. 약 XNUMX년 전에 원래 조례가 델라웨어 일반 회사법에 따라 유효하지 않다는 발견에 대응하여 일련의 "상당히 표준적인" 비영리 조례. 그 일상적인 절차만으로도 일반 회원의 투표를 포함하는 광범위한 프로세스가 필요했습니다.

그럼에도 불구하고 van der Stock은 이사회가 더 많은 자금을 조달할 방법을 찾을 수 있다면 OWASP가 확실히 번창할 수 있다고 말합니다.

“연간 5만~10만 달러를 벌 수 있다면 많은 일을 할 수 있습니다. 사람들이 프로젝트에 전임으로 일할 수 있다면 이러한 작업은 훨씬 더 빠르고 아마도 훨씬 더 높은 품질로 나타날 것입니다. “제 생각에 유일한 마찰과 경쟁할 수 있는 유일한 것은 거버넌스 모델입니다. 우리 사회는 그것에 대해 할 말이 많을 것이라고 생각합니다.”

이것은 Williams의 관심사이기도 합니다.

“현재 지배 구조를 고려할 때 OWASP가 편지에 응답할 수 없을까 걱정됩니다.”라고 그는 말합니다.

그러나 Curphey에 따르면 이사회 회의는 체인지메이커의 제안을 제시하고 다음 단계를 고려하는 좋은 출발점이었습니다.

"이사회는 긍정적이었습니다."라고 그는 말합니다. “아직 갈 길이 멀지만 두고 보자. 또 다른 이사회에 참석하기 위해 일찍 자리를 비워야 했지만 자리를 떴을 때 현 이사회의 적응과 변화에 대한 열망과 발전에 매우 만족했습니다.”

CISO가 관심을 가져야 하는 이유

CISO와 보안 실무자에게 가장 큰 질문은 OWASP에서 내부적으로 경쟁하는 것이 그들에게 정말로 중요한지 여부입니다. Wang에 따르면 오늘날 재단이 내리는 결정과 조치가 반드시 현재 CISO에게 직접적인 영향을 미치지는 않을 수 있습니다. 그러나 장기적으로 개발자를 돕기 위해 가질 수 있는 기술 옵션의 종류에 영향을 미치는 장기적인 파급 효과가 있을 수 있습니다.

"이는 새로운 기술에 대한 더 나은 지원으로 이어질 수 있으며, 이는 실무자가 이러한 기술을 채택하는 방식에 영향을 미칠 수 있습니다."라고 그녀는 말합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/edge-articles/is-owasp-at-risk-of-irrelevance