OWASP находится под угрозой неактуальности?

В то время как OWASP Foundation переживает третье десятилетие своего существования, многие эксперты по безопасности приложений и волонтеры OWASP говорят, что пришло время для организации внести некоторые серьезные изменения, чтобы оставаться актуальной. На этой неделе группа из более чем 60 высокопоставленных членов OWASP отправила Открой письмо совету директоров OWASP и исполнительному директору фонда с требованием значительных изменений в фонде. Многие из этих соавторов были лидерами флагманских проектов OWASP, пожизненными участниками и бывшими членами правления OWASP.

«OWASP просто больше не продвигает инновации», — говорит соучредитель и технический директор Contrast Security Джефф Уильямс, автор первой десятки OWASP Top Ten, председатель OWASP с 2001 по 2011 год и один из соавторов. «Открытый исходный код изменился, и OWASP нужно идти в ногу со временем, лучше поддерживая участников».

Среди подписавших были также два нынешних члена правления, Гленн тен Кейт и Марк Керфи. Хотя Керфи говорит, что письмо является результатом взаимного сотрудничества внутри группы, оно также очень тесно связано с манифест, который он опубликовал в прошлом году как часть его успешной заявки на место в совете директоров 2023 года. Как основатель OWASP, Керфи некоторое время не принимал непосредственного участия в организации, но всегда был сторонником и защитником OWASP, в то время как он был занят практиком безопасности, руководителем продуктов безопасности и предпринимателем в области безопасности приложений. .

Керфи сосредоточился на следующих трех основных моментах во время своей кампании за правление:

• изменить модель финансирования OWASP, чтобы она больше походила на то, как Linux Foundation и его Open Software Security Foundation работают с донорами для поддержки своего проекта,
• назначить главного менеджера по продукту, который возглавит работу по очистке проектов (и расстановке приоритетов над наиболее важными), а также обновит сайт OWASP, чтобы сделать его более удобным для разработчиков, и
• изменить культуру OWASP, устранить бюрократическую волокиту и повысить прозрачность того, как поставщики участвуют (или не участвуют) в миссии OWASP.

Открытое письмо эхом многие из этих точек, призывая при этом к смене руководства, что могло бы подстегнуть решительные усилия по сбору средств, которые, по их мнению, могли бы привлечь миллионы долларов для найма преданных разработчиков и руководителей проектов.

OWASP тогда и сейчас

Когда OWASP был основан еще в 2001 году, это был беспорядочный труд любви, основанный сторонниками безопасности приложений, которые были обеспокоены растущим риском для Интернета, создаваемым небезопасными веб-приложениями. Они хотели повысить осведомленность о проблеме за пределами круга инсайдеров кибербезопасности. Итак, OWASP был создан, чтобы помогать предоставлять образование и ресурсы не только специалистам по безопасности, но также разработчикам и корпоративным заинтересованным сторонам.

Идея заключалась в том, чтобы дать организациям техническое руководство, которое могло бы позволить разработчикам улучшить свои методы кодирования и снизить риск уязвимостей в развернутом ими программном обеспечении. Это было началом OWASP Top 10, хваленого списка группы. 10 самых опасных недостатков в приложениях, которые были впервые опубликованы в 2003 году и с тех пор породили множество обновлений и подсписков, и которые подпитывают целый ряд проектов безопасности с открытым исходным кодом, коммерческих продуктов и услуг.

Многое изменилось с тех ранних лет. Информационная часть OWASP, безусловно, достигла своей цели, и сегодня группа выросла, чтобы поддерживать более 240 отделений и десятки тысяч членов и участников по всему миру. На нем проводится полный список местных и глобальных мероприятий, а также ряд проектов, таких как Top 10, Модель зрелости Software Assurance (SAMM) и Zed Attack Proxy (ZAP).

Тем не менее, объем работы по обеспечению безопасности приложений значительно расширился, поскольку мир вышел далеко за рамки веб-приложений и теперь наводнен мобильными приложениями, IoT и встроенными системами, носимыми устройствами и всем, что между ними — все это управляется программным обеспечением. .

Радикально изменилась и среда разработки. Современные практики разработки используют такие методы, как непрерывная интеграция/непрерывная поставка (CI/CD), DevOps и Agile-разработка, чтобы заменить традиционные схемы каскадной разработки. Разработчики в значительной степени опираются на архитектуры микросервисов и комбинируют компоненты с открытым исходным кодом для создания своего программного обеспечения.

К сожалению, несмотря на все эти изменения, некоторые вещи остались прежними. Многие из проблем из первого OWASP Top 10 столь же проблематичны и сегодня и все еще в списке, включая недостатки внедрения, неправильные конфигурации и сбои аутентификации. Однако теперь эти назойливые проблемы, которые никогда не исчезали, только усугубляются расширением масштабов, скоростью разработки и путаницей зависимостей цепочки поставок программного обеспечения, которые были добавлены к смеси с годами.

Требование перемен

В контексте этих факторов многие инсайдеры OWASP утверждают, что некоммерческая организация не поспевает за темпами изменений в мире разработки программного обеспечения. Они говорят, что фонд не поддерживает потребности сообщества OWASP, особенно в том, что касается деятельности фонда. флагманские проекты, который включает более дюжины проектов среди 274 других проектов OWASP.

«То, что работало в прошлом, просто не работает сейчас, и OWASP необходимо изменить. Год за годом высказывались опасения и звучали обещания перемен, но год за годом этого не происходило», — говорится в открытом письме совету директоров OWASP и исполнительному директору фонда. «Разрыв между тем, чего хотят наши проекты и окружающее их сообщество, и поддержкой, которую предоставляет OWASP, продолжает увеличиваться».

С публикацией этого последнего послания соавторы письма говорят, что некоторые из наиболее значимых проектов OWASP — те, на которые полагаются многие предприятия и продукты, которые предприятия используют сегодня — оставлены «работать независимо, в некоторых случаях управляя своими собственными спонсорами, финансы, веб-сайты, домены, коммуникационные платформы и инструменты для разработчиков».

Подписанты требуют радикальных изменений в моделях финансирования и управления, чтобы группа вернулась к обслуживанию потребностей разработчиков в контексте современных моделей доставки программного обеспечения. Они разработали список действий, состоящий из пяти основных пунктов, призывая фонд и правление:

1. разработать план сообщества, в котором приоритет отдан ключевым инициативам, со ссылкой на план OSSF
2. изменить структуру управления фонда, чтобы «лучше отражать потребности всего сообщества безопасности»
3. организовать агрессивную кампанию по сбору средств, чтобы собрать от 5 до 10 миллионов долларов для оплаты преданных своему делу разработчиков, менеджеров сообщества и вспомогательного персонала.
4. улучшить централизованную инфраструктуру и услуги для сообщества, чтобы снять нагрузку с проектов
5. взять на себя более централизованное управление портфелем продуктов и тем, что происходит в местных отделениях

Уильямс говорит, что подписал контракт, потому что чувствовал, что изменения, к которым призывала группа, «к сожалению, необходимы».

«У OWASP есть явная дыра в отсутствии финансового плана, построенного снизу вверх на основе потребностей проекта», — говорит он. «Без этого невозможно эффективно собирать средства. Написание агрессивного плана финансирования, стремление к значительному увеличению финансирования и принятие более агрессивных проектов — единственный способ поддерживать быстрое продвижение OWASP».

Реалии следующего шага

Вопрос в том, готовы ли и могут ли фонд и сообщество OWASP внести некоторые из этих изменений. В соответствии с Чэньси Ван, бывший член правления OWASP, в предложении есть много пунктов, которые «крайне необходимы», поскольку она считает, что OWASP превратилась в организацию, которая занимается не более чем проведением мероприятий.

«Но некоторые другие пункты кажутся слишком амбициозными для OWASP, у которого есть совет волонтеров и небольшой операционный персонал. Например, пункт «активное управление портфелем проектов и главами» потребует значительных усилий в будущем, что может быть не тем, что фонд может сделать с сегодняшними ресурсами», — говорит она. «Кроме того, предложение о финансировании приоритетных проектов потребует изменения сегодняшней модели и может лишить права голоса новые проекты».

По ее мнению, это предложение потребует радикальных изменений в модели финансирования, модели сообщества и способе распределения средств.

«Сделать все это одним махом будет слишком разрушительно», — говорит Ван. «Поэтапный подход — единственный способ добиться этого».

Со своей стороны, исполнительный директор фонда OWASP Эндрю ван дер Сток говорит, что он также согласен со многими пунктами в письме. На следующий день после публикации письма предложения были представлены на ежемесячном собрании правления фонда. Он говорит, что встреча прошла хорошо, и он согласен с тем, что правление в любом случае должно установить приоритетный план в рамках своих фидуциарных обязанностей.

«Помимо того, как оно было представлено, в нем нет ничего, с чем мы не согласны», — говорит он о письме. «Я думаю, что создание плана в течение 30 дней, безусловно, выполнимо. Меня действительно больше всего беспокоит, если нам не удастся достичь всех пяти целей в сроки, в которые проекты хотят, чтобы мы их достигли ».

Он также задается вопросом, позволят ли действующий устав правления и воля платящих членов сообщества OWASP внести изменения в управление и финансирование, которых хотят подписчики. Например, OWASP устроен не так, как организация OSSF, которая в настоящее время имеет правление, состоящее из членов, которые покупают свои места через корпоративное членство и платят значительные суммы, чтобы сохранить эти места. OWASP в настоящее время насчитывает около 7,000 80,000 финансовых членов в дополнение к 50 500 человек, которые участвуют в жизни сообщества посредством мероприятий, собраний отделений и проектов. Это платное членство включает отдельных лиц, которые платят 5,000 долларов в год, пожизненных участников, которые платят XNUMX долларов, и корпоративных спонсоров, которые платят XNUMX долларов и выше, в зависимости от уровня поддержки, которую они хотят оказать.

«Я не думаю, что наше сообщество поддержит это изменение. Это одна из тех вещей, которые, как мне кажется, будут немного нереалистичными», — говорит ван дер Сток, добавляя, что такого рода изменения потребуют внесения изменений в устав OWASP, который уже находится на последних этапах капитального ремонта. набор «достаточно стандартных» уставов некоммерческих организаций в ответ на открытие около года назад, что первоначальные уставы недействительны в соответствии с Общим корпоративным законодательством штата Делавэр. Одна только эта рутинная процедура требовала обширного процесса, который включал голосование всех членов.

Тем не менее, ван дер Сток говорит, что OWASP определенно может процветать, если правление найдет способ привлечь больше финансирования.

«Если бы мы могли получать от 5 до 10 миллионов долларов в год, мы могли бы многое сделать. Если бы мы могли заставить людей работать над проектами полный рабочий день, эти вещи появились бы намного быстрее и, возможно, с гораздо более высоким качеством», — говорит он, отмечая, что в настоящее время в штате фонда всего пять сотрудников. «Я думаю, что на самом деле единственное разногласие и единственное, что можно оспорить, — это модель управления. Думаю, нашему сообществу есть что сказать по этому поводу».

Это также является проблемой для Williams.

«Меня беспокоит, что OWASP не сможет ответить на письмо, учитывая нынешнюю структуру управления, — говорит он.

Но, по словам Керфи, заседание правления стало хорошим началом для изложения предложения создателей изменений и рассмотрения следующих шагов.

«Заседание правления прошло позитивно, — говорит он. «Впереди еще долгий путь, но посмотрим. Мне пришлось уйти пораньше, чтобы присутствовать на другом заседании совета директоров, но когда я ушел, я был очень доволен прогрессом и желанием нынешнего совета адаптироваться и измениться».

Почему директора по информационной безопасности должны заботиться?

Большой вопрос для директоров по информационной безопасности и специалистов по безопасности заключается в том, действительно ли для них важны какие-либо внутренние манипуляции в OWASP. По словам Вана, решения и действия, которые фонд принимает сегодня, не обязательно прямо сейчас влияют на директоров по информационной безопасности. Но это может иметь долгосрочный волновой эффект, который повлияет на то, какие технологические варианты они будут использовать для помощи разработчикам в долгосрочной перспективе.

«Это может привести к лучшей поддержке новых технологий, что в конечном итоге может повлиять на то, как практикующие специалисты внедряют эти технологии», — говорит она.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/edge-articles/is-owasp-at-risk-of-irrelevance