В то время как OWASP Foundation переживает третье десятилетие своего существования, многие эксперты по безопасности приложений и волонтеры OWASP говорят, что пришло время для организации внести некоторые серьезные изменения, чтобы оставаться актуальной. На этой неделе группа из более чем 60 высокопоставленных членов OWASP отправила Открой письмо совету директоров OWASP и исполнительному директору фонда с требованием значительных изменений в фонде. Многие из этих соавторов были лидерами флагманских проектов OWASP, пожизненными участниками и бывшими членами правления OWASP.
«OWASP просто больше не продвигает инновации», — говорит соучредитель и технический директор Contrast Security Джефф Уильямс, автор первой десятки OWASP Top Ten, председатель OWASP с 2001 по 2011 год и один из соавторов. «Открытый исходный код изменился, и OWASP нужно идти в ногу со временем, лучше поддерживая участников».
Среди подписавших были также два нынешних члена правления, Гленн тен Кейт и Марк Керфи. Хотя Керфи говорит, что письмо является результатом взаимного сотрудничества внутри группы, оно также очень тесно связано с манифест, который он опубликовал в прошлом году как часть его успешной заявки на место в совете директоров 2023 года. Как основатель OWASP, Керфи некоторое время не принимал непосредственного участия в организации, но всегда был сторонником и защитником OWASP, в то время как он был занят практиком безопасности, руководителем продуктов безопасности и предпринимателем в области безопасности приложений. .
Керфи сосредоточился на следующих трех основных моментах во время своей кампании за правление:
- изменить модель финансирования OWASP, чтобы она больше походила на то, как Linux Foundation и его Open Software Security Foundation работают с донорами для поддержки своего проекта,
- назначить главного менеджера по продукту, который возглавит работу по очистке проектов (и расстановке приоритетов над наиболее важными), а также обновит сайт OWASP, чтобы сделать его более удобным для разработчиков, и
- изменить культуру OWASP, устранить бюрократическую волокиту и повысить прозрачность того, как поставщики участвуют (или не участвуют) в миссии OWASP.
Открытое письмо эхом многие из этих точек, призывая при этом к смене руководства, что могло бы подстегнуть решительные усилия по сбору средств, которые, по их мнению, могли бы привлечь миллионы долларов для найма преданных разработчиков и руководителей проектов.
OWASP тогда и сейчас
Когда OWASP был основан еще в 2001 году, это был беспорядочный труд любви, основанный сторонниками безопасности приложений, которые были обеспокоены растущим риском для Интернета, создаваемым небезопасными веб-приложениями. Они хотели повысить осведомленность о проблеме за пределами круга инсайдеров кибербезопасности. Итак, OWASP был создан, чтобы помогать предоставлять образование и ресурсы не только специалистам по безопасности, но также разработчикам и корпоративным заинтересованным сторонам.
Идея заключалась в том, чтобы дать организациям техническое руководство, которое могло бы позволить разработчикам улучшить свои методы кодирования и снизить риск уязвимостей в развернутом ими программном обеспечении. Это было началом OWASP Top 10, хваленого списка группы. 10 самых опасных недостатков в приложениях, которые были впервые опубликованы в 2003 году и с тех пор породили множество обновлений и подсписков, и которые подпитывают целый ряд проектов безопасности с открытым исходным кодом, коммерческих продуктов и услуг.
Многое изменилось с тех ранних лет. Информационная часть OWASP, безусловно, достигла своей цели, и сегодня группа выросла, чтобы поддерживать более 240 отделений и десятки тысяч членов и участников по всему миру. На нем проводится полный список местных и глобальных мероприятий, а также ряд проектов, таких как Top 10, Модель зрелости Software Assurance (SAMM) и Zed Attack Proxy (ZAP).
Тем не менее, объем работы по обеспечению безопасности приложений значительно расширился, поскольку мир вышел далеко за рамки веб-приложений и теперь наводнен мобильными приложениями, IoT и встроенными системами, носимыми устройствами и всем, что между ними — все это управляется программным обеспечением. .
Радикально изменилась и среда разработки. Современные практики разработки используют такие методы, как непрерывная интеграция/непрерывная поставка (CI/CD), DevOps и Agile-разработка, чтобы заменить традиционные схемы каскадной разработки. Разработчики в значительной степени опираются на архитектуры микросервисов и комбинируют компоненты с открытым исходным кодом для создания своего программного обеспечения.
К сожалению, несмотря на все эти изменения, некоторые вещи остались прежними. Многие из проблем из первого OWASP Top 10 столь же проблематичны и сегодня и все еще в списке, включая недостатки внедрения, неправильные конфигурации и сбои аутентификации. Однако теперь эти назойливые проблемы, которые никогда не исчезали, только усугубляются расширением масштабов, скоростью разработки и путаницей зависимостей цепочки поставок программного обеспечения, которые были добавлены к смеси с годами.
Требование перемен
В контексте этих факторов многие инсайдеры OWASP утверждают, что некоммерческая организация не поспевает за темпами изменений в мире разработки программного обеспечения. Они говорят, что фонд не поддерживает потребности сообщества OWASP, особенно в том, что касается деятельности фонда. флагманские проекты, который включает более дюжины проектов среди 274 других проектов OWASP.
«То, что работало в прошлом, просто не работает сейчас, и OWASP необходимо изменить. Год за годом высказывались опасения и звучали обещания перемен, но год за годом этого не происходило», — говорится в открытом письме совету директоров OWASP и исполнительному директору фонда. «Разрыв между тем, чего хотят наши проекты и окружающее их сообщество, и поддержкой, которую предоставляет OWASP, продолжает увеличиваться».
С публикацией этого последнего послания соавторы письма говорят, что некоторые из наиболее значимых проектов OWASP — те, на которые полагаются многие предприятия и продукты, которые предприятия используют сегодня — оставлены «работать независимо, в некоторых случаях управляя своими собственными спонсорами, финансы, веб-сайты, домены, коммуникационные платформы и инструменты для разработчиков».
Подписанты требуют радикальных изменений в моделях финансирования и управления, чтобы группа вернулась к обслуживанию потребностей разработчиков в контексте современных моделей доставки программного обеспечения. Они разработали список действий, состоящий из пяти основных пунктов, призывая фонд и правление:
- разработать план сообщества, в котором приоритет отдан ключевым инициативам, со ссылкой на план OSSF
- изменить структуру управления фонда, чтобы «лучше отражать потребности всего сообщества безопасности»
- организовать агрессивную кампанию по сбору средств, чтобы собрать от 5 до 10 миллионов долларов для оплаты преданных своему делу разработчиков, менеджеров сообщества и вспомогательного персонала.
- улучшить централизованную инфраструктуру и услуги для сообщества, чтобы снять нагрузку с проектов
- взять на себя более централизованное управление портфелем продуктов и тем, что происходит в местных отделениях
Уильямс говорит, что подписал контракт, потому что чувствовал, что изменения, к которым призывала группа, «к сожалению, необходимы».
«У OWASP есть явная дыра в отсутствии финансового плана, построенного снизу вверх на основе потребностей проекта», — говорит он. «Без этого невозможно эффективно собирать средства. Написание агрессивного плана финансирования, стремление к значительному увеличению финансирования и принятие более агрессивных проектов — единственный способ поддерживать быстрое продвижение OWASP».
Реалии следующего шага
Вопрос в том, готовы ли и могут ли фонд и сообщество OWASP внести некоторые из этих изменений. В соответствии с Чэньси Ван, бывший член правления OWASP, в предложении есть много пунктов, которые «крайне необходимы», поскольку она считает, что OWASP превратилась в организацию, которая занимается не более чем проведением мероприятий.
«Но некоторые другие пункты кажутся слишком амбициозными для OWASP, у которого есть совет волонтеров и небольшой операционный персонал. Например, пункт «активное управление портфелем проектов и главами» потребует значительных усилий в будущем, что может быть не тем, что фонд может сделать с сегодняшними ресурсами», — говорит она. «Кроме того, предложение о финансировании приоритетных проектов потребует изменения сегодняшней модели и может лишить права голоса новые проекты».
По ее мнению, это предложение потребует радикальных изменений в модели финансирования, модели сообщества и способе распределения средств.
«Сделать все это одним махом будет слишком разрушительно», — говорит Ван. «Поэтапный подход — единственный способ добиться этого».
Со своей стороны, исполнительный директор фонда OWASP Эндрю ван дер Сток говорит, что он также согласен со многими пунктами в письме. На следующий день после публикации письма предложения были представлены на ежемесячном собрании правления фонда. Он говорит, что встреча прошла хорошо, и он согласен с тем, что правление в любом случае должно установить приоритетный план в рамках своих фидуциарных обязанностей.
«Помимо того, как оно было представлено, в нем нет ничего, с чем мы не согласны», — говорит он о письме. «Я думаю, что создание плана в течение 30 дней, безусловно, выполнимо. Меня действительно больше всего беспокоит, если нам не удастся достичь всех пяти целей в сроки, в которые проекты хотят, чтобы мы их достигли ».
Он также задается вопросом, позволят ли действующий устав правления и воля платящих членов сообщества OWASP внести изменения в управление и финансирование, которых хотят подписчики. Например, OWASP устроен не так, как организация OSSF, которая в настоящее время имеет правление, состоящее из членов, которые покупают свои места через корпоративное членство и платят значительные суммы, чтобы сохранить эти места. OWASP в настоящее время насчитывает около 7,000 80,000 финансовых членов в дополнение к 50 500 человек, которые участвуют в жизни сообщества посредством мероприятий, собраний отделений и проектов. Это платное членство включает отдельных лиц, которые платят 5,000 долларов в год, пожизненных участников, которые платят XNUMX долларов, и корпоративных спонсоров, которые платят XNUMX долларов и выше, в зависимости от уровня поддержки, которую они хотят оказать.
«Я не думаю, что наше сообщество поддержит это изменение. Это одна из тех вещей, которые, как мне кажется, будут немного нереалистичными», — говорит ван дер Сток, добавляя, что такого рода изменения потребуют внесения изменений в устав OWASP, который уже находится на последних этапах капитального ремонта. набор «достаточно стандартных» уставов некоммерческих организаций в ответ на открытие около года назад, что первоначальные уставы недействительны в соответствии с Общим корпоративным законодательством штата Делавэр. Одна только эта рутинная процедура требовала обширного процесса, который включал голосование всех членов.
Тем не менее, ван дер Сток говорит, что OWASP определенно может процветать, если правление найдет способ привлечь больше финансирования.
«Если бы мы могли получать от 5 до 10 миллионов долларов в год, мы могли бы многое сделать. Если бы мы могли заставить людей работать над проектами полный рабочий день, эти вещи появились бы намного быстрее и, возможно, с гораздо более высоким качеством», — говорит он, отмечая, что в настоящее время в штате фонда всего пять сотрудников. «Я думаю, что на самом деле единственное разногласие и единственное, что можно оспорить, — это модель управления. Думаю, нашему сообществу есть что сказать по этому поводу».
Это также является проблемой для Williams.
«Меня беспокоит, что OWASP не сможет ответить на письмо, учитывая нынешнюю структуру управления, — говорит он.
Но, по словам Керфи, заседание правления стало хорошим началом для изложения предложения создателей изменений и рассмотрения следующих шагов.
«Заседание правления прошло позитивно, — говорит он. «Впереди еще долгий путь, но посмотрим. Мне пришлось уйти пораньше, чтобы присутствовать на другом заседании совета директоров, но когда я ушел, я был очень доволен прогрессом и желанием нынешнего совета адаптироваться и измениться».
Почему директора по информационной безопасности должны заботиться?
Большой вопрос для директоров по информационной безопасности и специалистов по безопасности заключается в том, действительно ли для них важны какие-либо внутренние манипуляции в OWASP. По словам Вана, решения и действия, которые фонд принимает сегодня, не обязательно прямо сейчас влияют на директоров по информационной безопасности. Но это может иметь долгосрочный волновой эффект, который повлияет на то, какие технологические варианты они будут использовать для помощи разработчикам в долгосрочной перспективе.
«Это может привести к лучшей поддержке новых технологий, что в конечном итоге может повлиять на то, как практикующие специалисты внедряют эти технологии», — говорит она.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/edge-articles/is-owasp-at-risk-of-irrelevance
- $ 10 миллионов
- 000
- 10
- 2001
- 2011
- 2023
- 7
- a
- в состоянии
- О нас
- По
- Достигать
- Действие
- действия
- активно
- приспосабливать
- добавленный
- дополнение
- Добавляет
- принять
- адвокат
- адвокаты
- После
- агрессивный
- проворный
- Выравнивает
- Все
- в одиночестве
- уже
- всегда
- честолюбивый
- среди
- и
- Другой
- появиться
- Применение
- безопасность приложения
- Приложения
- подхода
- Программы
- спорить
- около
- гарантия
- атаковать
- посещать
- Аутентификация
- автор
- осведомленность
- назад
- основанный
- , так как:
- не являетесь
- считает,
- Лучшая
- между
- Beyond
- предложение
- большой
- Немного
- доска
- член правления
- совет директоров
- повышение
- рожденный
- Дно
- пузырь
- строить
- построенный
- купить
- под названием
- вызова
- Кампания
- заботится
- случаев
- централизованная
- конечно
- цепь
- Кресла
- изменение
- изменения
- Глава
- заряд
- главный
- директор по продукту
- тесно
- Соучредитель
- Кодирование
- сотрудничество
- коммерческая
- Связь
- сообщество
- компоненты
- Беспокойство
- обеспокоенный
- Обеспокоенность
- принимая во внимание
- контекст
- продолжается
- (CIJ)
- контраст
- вкладчики
- Корпоративное
- может
- Создающий
- CTO
- Культура
- Текущий
- В настоящее время
- Информационная безопасность
- день
- Дней
- десятилетие
- решения
- преданный
- определенно
- Делавэр
- доставить
- поставка
- требующий
- в зависимости
- развернуть
- развитый
- Застройщик
- застройщиков
- Развитие
- DID
- непосредственно
- директор
- Директора
- открытие
- подрывной
- распределенный
- долларов
- доменов
- вниз
- дюжина
- управляемый
- вождение
- в течение
- Рано
- Обучение
- эффект
- фактически
- усилие
- ликвидировать
- встроенный
- включить
- Предприятие
- предприятий
- Весь
- Предприниматель
- Окружающая среда
- особенно
- События
- многое
- пример
- исполнительный
- Исполнительный директор
- расширенный
- эксперты
- обширный
- Face
- факторы
- достаточно
- финансы
- финансовый
- Найдите
- Во-первых,
- флагман
- недостатки
- процветать
- внимание
- после
- Бывший
- вперед
- Год основания
- Основана
- основатель
- трение
- дружественный
- от
- топливо
- полный
- финансирование
- мобилизовывать средства
- Фандрайзинг
- средства
- разрыв
- Общие
- Genesis
- получить
- GitHub
- Дайте
- данный
- Глобальный
- Go
- Цели
- идет
- будет
- хорошо
- управление
- группы
- Расти
- взрослый
- рука
- происходить
- произошло
- имеющий
- сильно
- помощь
- помощь
- Высокий профиль
- высший
- Наем
- Удар
- Отверстие
- кашель
- хостов
- Как
- HTTPS
- идея
- Влияние
- эффектных
- что она
- улучшать
- in
- включены
- включает в себя
- В том числе
- самостоятельно
- лиц
- Инфраструктура
- инициативы
- Инновации
- устанавливать
- в нашей внутренней среде,
- Интернет
- вовлеченный
- КАТО
- вопросы
- IT
- пункты
- Сохранить
- Основные
- Вид
- труд
- Фамилия
- последний
- закон
- вести
- лидер
- Лидеры
- Оставлять
- письмо
- уровень
- продолжительность жизни
- линия
- Linux
- linux foundation
- Список
- мало
- локальным
- Длинное
- долгосрочный
- посмотреть
- серия
- любят
- основной
- сделать
- ДЕЛАЕТ
- управлять
- Менеджеры
- управления
- многих
- отметка
- Вопросы
- зрелость
- Модель зрелости
- заседания
- заседаниях
- член
- Участники
- членство
- методы
- microservices
- может быть
- миллиона
- миллионы
- Наша миссия
- Мобильный телефон
- мобильные приложения-
- модель
- Модели
- Модерн
- ежемесячно
- БОЛЕЕ
- самых
- перемещение
- взаимное
- обязательно
- необходимо
- Необходимость
- потребности
- следующий
- некоммерческий
- номер
- многочисленный
- сотрудник
- ONE
- открытый
- с открытым исходным кодом
- работать
- операционный
- Опции
- организация
- организации
- оригинал
- Другое
- внешнюю
- собственный
- Темп
- часть
- новыми участниками
- участвовать
- мимо
- паттеранами
- ОПЛАТИТЬ
- платить
- Люди
- кусок
- план
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- довольный
- пунктов
- «портфель»
- положительный
- практиками
- представлены
- Расставляйте приоритеты
- приоритеты
- вероятно
- Проблема
- проблемам
- процесс
- Продукт
- Продукция
- профессионалы
- Прогресс
- Проект
- проектов
- Обещает
- рассматривается
- Предложения
- приводит
- полномочие
- Публикация
- опубликованный
- вопрос
- быстрее
- быстро
- радикально
- повышение
- поднятый
- Red
- уменьшить
- отражать
- соответствующие
- требовать
- обязательный
- Полезные ресурсы
- Реагируйте
- ответ
- результат
- Ripple
- Снижение
- список
- Run
- Сказал
- то же
- говорит
- сфера
- безопасный
- безопасность
- видит
- Услуги
- выступающей
- набор
- должен
- Подписанты
- подписанный
- значительный
- существенно
- просто
- с
- сайте
- Шифер
- небольшой
- So
- Software
- разработка программного обеспечения
- некоторые
- удалось
- Источник
- Space
- скорость
- Спонсоры
- Персонал
- этапы
- заинтересованных сторон
- стандарт
- Начало
- оставаться
- остались
- Шаги
- По-прежнему
- акции
- Структура
- существенный
- успешный
- поставка
- цепочками поставок
- поддержка
- сторонник
- поддержки
- системы
- взять
- с
- Технический
- технологии
- Технологии
- 10
- Ассоциация
- Линия
- Проекты
- мир
- их
- задача
- вещи
- В третьих
- На этой неделе
- тысячи
- три
- Через
- время
- сроки
- в
- сегодня
- слишком
- инструменты
- топ
- Топ-10
- Десятка лучших
- традиционный
- Прозрачность
- Updates
- us
- использование
- поставщики
- волонтер
- Голос
- Уязвимости
- стремятся
- Предметы одежды
- Web
- веб-приложений
- веб-сайты
- неделя
- Что
- будь то
- , которые
- в то время как
- КТО
- все
- Шире
- будете
- готовый
- в
- без
- Выиграл
- Работа
- работавший
- работает
- работает
- Мир
- беспокоиться
- бы
- письмо
- год
- лет
- YouTube
- Зет
- зефирнет