OWASP este în pericol de irelevanță?

Pe măsură ce Fundația OWASP navighează pe cel de-al treilea deceniu de existență, mulți experți în securitatea aplicațiilor și colaboratori voluntari OWASP spun că este timpul ca organizația să facă unele schimbări majore pentru a rămâne relevantă. Săptămâna aceasta, un grup de peste 60 de membri OWASP de profil înalt a trimis un scrisoare deschisă către Consiliul de Administrație al OWASP și către directorul executiv al fundației cerând schimbări semnificative ale fundației. Mulți dintre acești cosemnatari au fost lideri ai proiectelor emblematice OWASP, colaboratori pe viață și foști membri ai consiliului OWASP.

„OWASP pur și simplu nu mai stimulează inovația”, spune co-fondatorul și CTO al Contrast Security Jeff Williams, autorul primului Top Ten OWASP, scaunul OWASP din 2001 până în 2011 și unul dintre cosemnatari. „Sursa deschisă s-a schimbat, iar OWASP trebuie să țină pasul, sprijinind mai bine contribuitorii.”

Printre semnatari s-au numărat și doi actuali membri ai consiliului, Glenn ten Cate și Mark Curphey. În timp ce Curphey spune că scrisoarea este rezultatul colaborării reciproce în cadrul grupului, se aliniază, de asemenea, foarte strâns cu un manifest pe care l-a publicat anul trecut ca parte a ofertei sale de succes pentru un loc în consiliul de administrație din 2023. În calitate de fondator al OWASP, Curphey nu a fost implicat direct în organizație de ceva timp, dar a fost întotdeauna un susținător și un susținător al OWASP în timp ce era ocupat să fie un practician în securitate, lider de produse de securitate și antreprenor în spațiul de securitate al aplicațiilor. .

Curphey sa concentrat pe următoarele trei puncte majore în timpul campaniei sale pentru consiliu:

• pentru a schimba modelul de finanțare al OWASP pentru a arăta mai mult cu modul în care Linux Foundation și Open Software Security Foundation lucrează cu donatorii pentru a-și sprijini proiectul,
• să instaleze un director de produs care să conducă sarcina pentru curățarea proiectelor (și să prioritizeze cele cu impact mare), precum și să renoveze site-ul OWASP pentru a-l face mai prietenos pentru dezvoltatori și
• pentru a schimba cultura OWASP pentru a elimina birocrația și pentru a adăuga mai multă transparență în modul în care vânzătorii sunt (sau nu sunt) implicați în misiunea OWASP.

Scrisoarea deschisă răsună multe dintre aceste puncte, în timp ce solicită o schimbare în guvernanță care ar putea alimenta un efort drastic de strângere de fonduri, care consideră că ar putea atrage milioane de dolari pentru a angaja dezvoltatori dedicați și lideri de proiect.

OWASP Atunci și Acum

Când OWASP a fost înființat în 2001, a fost o muncă de dragoste înfiorătoare fondată de susținătorii securității aplicațiilor care erau îngrijorați de riscul crescând pentru Internet reprezentat de aplicațiile web nesigure. Ei au vrut să sporească gradul de conștientizare a problemei în afara bulei din interiorul securității cibernetice. Așadar, OWASP s-a născut pentru a ajuta la furnizarea de educație și resurse nu doar profesioniștilor în domeniul securității, ci și dezvoltatorilor și părților interesate ale întreprinderilor.

Ideea a fost de a oferi organizațiilor îndrumări tehnice care le-ar putea permite dezvoltatorilor să-și îmbunătățească practicile de codificare și să reducă riscul de vulnerabilități în software-ul pe care l-au implementat. Aceasta a fost geneza Top 10 OWASP, lista lăudată a grupului 10 cele mai riscante defecte în aplicații care au fost publicate pentru prima dată în 2003 și care de atunci au generat numeroase actualizări și subliste și care a alimentat o mulțime de proiecte open source de securitate, produse comerciale și servicii.

Multe lucruri s-au schimbat din acei primi ani. Piesa de conștientizare a OWASP și-a atins cu siguranță amprenta, iar astăzi grupul a crescut pentru a susține peste 240 de capitole și zeci de mii de membri și participanți din întreaga lume. Găzduiește o serie completă de evenimente locale și globale și o serie de proiecte precum Top 10, Software Assurance Maturity Model (SAMM) și Zed Attack Proxy (ZAP).

Cu toate acestea, domeniul de aplicare a activității de securitate a aplicațiilor de făcut s-a lărgit considerabil, deoarece lumea s-a mutat mult dincolo de aplicațiile web și acum este plină de aplicații mobile, IoT și sisteme încorporate, purtabile și tot ce se află între ele - toate acestea fiind conduse de software. .

Și mediul de dezvoltare s-a schimbat radical, de asemenea. Practicile moderne de dezvoltare au cooptat metode precum integrarea continuă/livrarea continuă (CI/CD), DevOps și dezvoltarea Agile pentru a prelua modelele tradiționale de dezvoltare în cascadă. Dezvoltatorii se bazează foarte mult pe arhitecturile de microservicii și combină componente open source pentru a-și construi software-ul.

Din păcate, în fața tuturor acestor schimbări, unele lucruri au rămas la fel. Multe dintre problemele din primul Top 10 OWASP sunt la fel de problematice și astăzi și sunt încă pe listă, inclusiv defecte de injectare, configurații greșite și eșecuri de autentificare. Acum, totuși, aceste probleme sâcâitoare, care nu au dispărut niciodată, sunt doar agravate de aria extinsă, viteza de dezvoltare și încurcătura de dependențe ale lanțului de aprovizionare a software-ului care au fost adăugate mixului de-a lungul anilor.

Urlă pentru Schimbare

În contextul acestor factori, mulți dintre membrii OWASP susțin că organizația nonprofit nu a ținut pasul cu ritmul schimbării în lumea dezvoltării software. Ei spun că fundația nu sprijină nevoile comunității OWASP, în special în ceea ce privește proiecte emblematice, care include peste o duzină de proiecte printre celelalte 274 de proiecte ale OWASP.

„Ceea ce a funcționat în trecut pur și simplu nu funcționează acum și OWASP trebuie să se schimbe. An de an, au fost ridicate preocupări și au existat promisiuni de schimbare, dar an de an nu s-a întâmplat”, se spune în scrisoarea deschisă către Consiliul de Administrație al OWASP și către directorul executiv al fundației. „Decalajul dintre ceea ce își doresc proiectele noastre și comunitatea din jurul lor și sprijinul oferit de OWASP continuă să crească.”

Odată cu publicarea acestei ultime misive, cosemnatarii scrisorii spun că unele dintre proiectele cu cel mai mare impact ale OWASP – cele pe care se bazează multe întreprinderi și pe care se bazează pe produsele pe care întreprinderile le folosesc astăzi – sunt lăsate să „opereze independent, în unele cazuri gestionându-și propriile sponsorizări, finanțe, site-uri web, domenii, platforme de comunicare și instrumente pentru dezvoltatori.”

Semnatarii cer unele schimbări drastice în modelele de finanțare și guvernare pentru a face grupul să devină din nou nevoile dezvoltatorilor în contextul modelelor moderne de livrare a software-ului. Ei au elaborat o listă de acțiuni care constă din cinci puncte majore, chemând fundația și consiliul să:

1. elaborați un plan comunitar care prioritizează inițiativele cheie, indicând planul OSSF ca referință
2. schimbarea structurii de guvernare a fundației pentru a „reflecta mai bine nevoia întregii comunități de securitate”
3. stabiliți o campanie de finanțare agresivă pentru a strânge de la 5 la 10 milioane de dolari pentru a plăti dezvoltatorii dedicați, managerii comunității și personalul de asistență
4. să îmbunătățească infrastructura și serviciile centralizate pentru comunitate pentru a reduce căldura proiectelor
5. luați o mână mai centralizată în gestionarea portofoliului de produse și a ceea ce se întâmplă în capitolele locale

Williams spune că a semnat pentru că a considerat că schimbările cerute de grup sunt „din păcate necesare”.

„OWASP are o gaură evidentă în a nu avea un plan financiar construit de jos în sus pe baza nevoilor proiectului”, spune el. „Fără asta, este imposibil să strângi fonduri eficient. Scrierea unui plan de finanțare agresiv, urmărirea unor creșteri mari de finanțare și asumarea unor proiecte mai agresive este singura modalitate de a menține OWASP în mișcare rapidă.”

Realitățile următorului pas

Întrebarea este dacă fundația și comunitatea OWASP sunt dispuse și capabile să facă unele dintre aceste schimbări. Conform Chenxi Wang, un fost membru al consiliului de administrație al OWASP, există multe elemente în propunere care sunt „mult necesare”, deoarece ea crede că OWASP a devenit o organizație care nu face mult mai mult decât să organizeze evenimente.

„Dar unele dintre celelalte articole par a fi prea ambițioase pentru OWASP, care are un consiliu de voluntari și un personal mic de operare. De exemplu, elementul de „gestionare activă a portofoliului de proiecte și a capitolelor” ar necesita un efort substanțial în viitor, ceea ce poate să nu fie ceva ce fundația poate face cu resursele de astăzi”, spune ea. „De asemenea, propunerea de finanțare a proiectelor prioritizate ar necesita o schimbare a modelului de astăzi și ar putea priva de drepturile de autor proiecte mai noi.”

După cum vede ea, propunerea va necesita modificări drastice ale modelului de finanțare, modelului comunitar și modului în care sunt distribuite fondurile.

„A face toate acestea dintr-o singură lovitură va fi prea perturbator”, spune Wang. „O abordare în etape este singura modalitate de a face acest lucru să se întâmple.”

La rândul său, directorul executiv al Fundației OWASP, Andrew van der Stock, spune că este, de asemenea, de acord cu multe dintre punctele din scrisoare. A doua zi după publicarea scrisorii, propunerile au fost prezentate la ședința lunară a consiliului de administrație a fundației. El spune că întâlnirea a decurs bine și este de acord că consiliul trebuie să stabilească oricum un plan prioritizat ca parte a obligației lor fiduciare.

„Dincolo de modul în care a fost prezentat, nu există nimic acolo cu care să nu fim de acord”, spune el despre scrisoare. „Cred că crearea unui plan în 30 de zile este cu siguranță fezabilă. Preocuparea mea majoră este într-adevăr în jur dacă nu reușim să atingem toate cele cinci obiective într-un interval de timp în care proiectele doresc să le atingem.”

De asemenea, se întreabă dacă statutul actual al consiliului de administrație și voința membrilor plătitori ai comunității OWASP vor permite genul de schimbări de guvernare și finanțare pe care cosemnatarii le doresc. De exemplu, OWASP nu este configurat așa cum este organizația OSSF, care are în prezent un consiliu format din membri care își cumpără locurile prin calitatea de membru corporativ și plătesc în mod semnificativ pentru a păstra acele locuri. OWASP are în prezent aproximativ 7,000 de membri financiari în plus față de cei 80,000 de oameni care participă în comunitate prin evenimente, întâlniri de capitol și proiecte. Acest statut de membru plătitor include persoane fizice care plătesc 50 USD pe an, membri pe viață care plătesc 500 USD și sponsori corporativi care plătesc 5,000 USD și mai mult, în funcție de nivelul de sprijin pe care doresc să-l acorde.

„Nu cred că comunitatea noastră ar sprijini această schimbare. Este unul dintre acele lucruri despre care cred că va fi puțin nerealist”, spune van der Stock, care adaugă că aceste tipuri de modificări ar necesita o modificare a statutului OWASP, care se află deja în ultimele etape de revizuire. un set de regulamente nonprofit „destul de standard” ca răspuns la descoperirea în urmă cu aproximativ un an că statutele originale erau invalide conform Legii corporative generale din Delaware. Numai această procedură de rutină a necesitat un proces amplu care a inclus un vot din partea membrilor generali.

Cu toate acestea, van der Stock spune că OWASP ar putea înflori cu siguranță dacă consiliul de administrație poate găsi o modalitate de a obține mai multe fonduri.

„Dacă am putea obține între 5 și 10 milioane de dolari pe an, am putea face multe. Dacă am putea convinge oamenii să lucreze la proiecte cu normă întreagă, aceste lucruri ar părea mult mai rapide și probabil cu o calitate mult mai bună”, spune el, menționând că în prezent fundația are doar cinci angajați pe lista sa. „Cred că singura fricțiune cu adevărat și singurul lucru care ar putea fi contestat este modelul de guvernare. Cred că comunitatea noastră ar avea multe de spus despre asta.”

Aceasta este și preocuparea lui Williams.

„Sunt îngrijorat că OWASP nu va putea răspunde la scrisoare, având în vedere structurile actuale de guvernare”, spune el.

Dar, potrivit lui Curphey, ședința consiliului a fost un început bun pentru a prezenta propunerea celor care fac schimbarea și a lua în considerare pașii următori.

„Ședința consiliului a fost pozitivă”, spune el. „Mai este un drum lung de parcurs, dar vom vedea. A trebuit să plec devreme pentru a participa la o altă ședință a consiliului de administrație, dar când am plecat am fost foarte mulțumit de progresul și dorința actualului consiliu de a se adapta și schimba.”

De ce ar trebui să le pese CISO?

Marea întrebare pentru CISO și practicienii în securitate este dacă vreunul dintre aceste jockey-uri interne la OWASP contează cu adevărat pentru ei. Potrivit lui Wang, deciziile și acțiunile pe care fundația le face astăzi nu pot avea neapărat un impact direct asupra CISO în acest moment. Dar ar putea avea un efect ondulatoriu pe termen lung care influențează tipul de opțiuni tehnologice pe care le vor avea pentru a ajuta dezvoltatorii pe termen lung.

„Acest lucru ar putea duce la o mai bună susținere a tehnologiilor emergente, care în continuare ar putea avea un impact asupra modului în care practicienii adoptă aceste tehnologii”, spune ea.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://www.darkreading.com/edge-articles/is-owasp-at-risk-of-irrelevance