När OWASP Foundation navigerar över sitt tredje årtionde av existens säger många applikationssäkerhetsexperter och OWASP-frivilliga bidragsgivare att det är dags för organisationen att göra några stora förändringar för att förbli relevanta. Den här veckan skickade en grupp på över 60 högprofilerade OWASP-medlemmar en öppet brev till OWASP:s styrelse och till stiftelsens verkställande direktör med krav på betydande förändringar av stiftelsen. Många av dessa medundertecknare var ledare för flaggskepps-OWASP-projekt, livstidsbidragsgivare och tidigare OWASP-styrelsemedlemmar.
"OWASP driver helt enkelt inte innovation längre", säger Contrast Securitys medgrundare och CTO Jeff Williams, författare till den första OWASP Top Ten, OWASP-stolen från 2001 till 2011, och en av medundertecknarna. "Öppen källkod har förändrats, och OWASP måste hänga med genom att stödja bidragsgivare bättre."
Bland undertecknarna fanns också två nuvarande styrelseledamöter, Glenn ten Cate och Mark Curphey. Medan Curphey säger att brevet är resultatet av ömsesidigt samarbete inom gruppen, ligger det också mycket nära en manifest som han publicerade förra året som en del av hans framgångsrika bud på en plats i styrelsen 2023. Som grundare av OWASP hade Curphey inte varit direkt involverad i organisationen på en tid, men hade alltid varit en supporter och förespråkare för OWASP medan han var upptagen med att vara säkerhetsutövare, säkerhetsproduktledare och entreprenör inom applikationssäkerhetsområdet .
Curphey fokuserade på följande tre huvudpunkter under sin kampanj för styrelsen:
- att ändra finansieringsmodellen för OWASP så att den ser mer ut som hur Linux Foundation och dess Open Software Security Foundation arbetar med givare för att stödja deras projekt,
- att installera en produktchef för att leda ansvaret för att städa upp projekt (och prioritera de högeffektiva) samt renovera OWASP-webbplatsen för att göra den mer utvecklarvänlig, och
- att ändra kulturen för OWASP för att eliminera byråkrati och för att lägga till mer transparens i hur leverantörer är (eller inte är) involverade i OWASP-uppdraget.
Det öppna brevet ekar många av dessa punkter, samtidigt som de efterlyser en förändring av förvaltningen som kan underblåsa en drastisk insamling av pengar som de anser kan dra in miljontals dollar för att anställa engagerade utvecklare och projektledare.
OWASP då och nu
När OWASP grundades långt tillbaka 2001, var det ett skralt arbete av kärlek grundat av applikationssäkerhetsförespråkare som var oroade över den ökande risken för Internet som osäkra webbapplikationer utgör. De ville öka medvetenheten om problemet utanför bubblan av cybersäkerhetsinsiders. Och så föddes OWASP för att hjälpa till att leverera utbildning och resurser till inte bara säkerhetsproffs, utan även utvecklare och företagsintressenter.
Tanken var att ge organisationer teknisk vägledning som skulle kunna göra det möjligt för utvecklare att förbättra sina kodningspraxis och minska risken för sårbarheter i programvaran de distribuerade. Detta var uppkomsten av OWASP Top 10, gruppens hyllade lista över 10 mest riskfyllda bristerna i applikationer som först publicerades 2003 och som sedan dess gett upphov till många uppdateringar och underlistor, och som har drivit på en hel mängd säkerhetsprojekt med öppen källkod, kommersiella produkter och tjänster.
Mycket har förändrats sedan de första åren. Medvetenhetsdelen av OWASP har verkligen träffat sina spår, och idag har gruppen vuxit till att stödja över 240 kapitel och tiotusentals medlemmar och deltagare runt om i världen. Den är värd för en komplett lista med lokala och globala evenemang, och ett antal projekt som Top 10, Software Assurance Maturity Model (SAMM) och Zed Attack Proxy (ZAP).
Omfattningen av applikationssäkerhetsarbete som ska utföras har dock breddats avsevärt eftersom världen har gått långt bortom webbapplikationer och nu är full av mobilappar, IoT och inbyggda system, wearables och allt däremellan - som allt drivs av mjukvara .
Och utvecklingsmiljön har också radikalt förändrats. Moderna utvecklingsmetoder har samordnat metoder som kontinuerlig integration/kontinuerlig leverans (CI/CD), DevOps och Agil utveckling för att ta över från traditionella vattenfallsutvecklingsmönster. Utvecklare lutar sig mycket åt mikrotjänsters arkitekturer och blanda och matcha komponenter med öppen källkod för att bygga ut sin programvara.
Tyvärr, inför all den förändringen, har vissa saker också förblivit desamma. Många av problemen på den första OWASP Top 10 är lika problematiska idag och fortfarande på listan, inklusive injektionsfel, felkonfigurationer och autentiseringsfel. Men nu förvärras dessa tjatande problem som aldrig har försvunnit bara av den utökade omfattningen, utvecklingshastigheten och härvan av beroende av mjukvaruförsörjningskedjan som har lagts till mixen under åren.
ropar på förändring
I samband med dessa faktorer hävdar många OWASP-insiders att den ideella organisationen inte har hängt med i förändringstakten inom mjukvaruutvecklingsvärlden. De säger att stiftelsen inte stöder behoven hos OWASP-gemenskapen, särskilt när det gäller stiftelsens flaggskeppsprojekt, som inkluderar över ett dussin projekt bland OWASP:s 274 andra projekt.
"Det som fungerade tidigare fungerar helt enkelt inte nu och OWASP måste förändras. År efter år har oro väckts och det har kommit löften om förändring, men år efter år har det inte hänt”, stod det i det öppna brevet till OWASP:s styrelse och till stiftelsens verkställande direktör. "Klyftan mellan vad våra projekt och samhället runt dem vill ha, och det stöd som OWASP ger, fortsätter att växa större."
Med publiceringen av det här senaste meddelandet säger brevets medunderskrivare att några av OWASP:s mest effektfulla projekt – sådana som många företag litar på och av produkter som företag använder idag – lämnas att "fungera självständigt, i vissa fall hantera sina egna sponsringar, ekonomi, webbplatser, domäner, kommunikationsplattformar och utvecklarverktyg.”
Undertecknarna ropar på några drastiska förändringar i finansieringsmodeller och styrning för att få gruppen tillbaka till att tjäna utvecklarnas behov i samband med moderna mjukvaruleveransmodeller. De tog fram en åtgärdslista som består av fem huvudpunkter och uppmanar stiftelsen och styrelsen att:
- utveckla en samhällsplan som prioriterar nyckelinitiativ och pekar på OSSF-planen som referens
- ändra stiftelsens styrningsstruktur för att "bättre spegla behovet hos hela säkerhetsgemenskapen"
- etablera en aggressiv finansieringskampanj för att samla in $5 miljoner till $10 miljoner för att betala för dedikerade utvecklare, community-chefer och supportpersonal
- förbättra centraliserad infrastruktur och tjänster för samhället för att ta värmen från projekten
- ta en mer central hand i hanteringen av produktportföljen och vad som händer i lokala avdelningar
Williams säger att han skrev på för att han kände att de förändringar som gruppen efterlyste är "tyvärr nödvändiga."
"OWASP har ett påfallande hål i att inte ha en finansiell plan byggd nerifrån och upp baserad på projektbehov", säger han. "Utan det är det omöjligt att samla in pengar på ett effektivt sätt. Att skriva ner en aggressiv finansieringsplan, gå efter några stora finansieringsökningar och ta sig an mer aggressiva projekt är det enda sättet att hålla OWASP igång snabbt.”
Nästa stegs verklighet
Frågan är om stiftelsen och OWASP-gemenskapen är villiga och kan göra några av dessa förändringar. Enligt Chenxi Wang, en tidigare OWASP styrelseledamot, det finns många punkter i förslaget som är "välbehövliga" eftersom hon tror att OWASP har övergått till en organisation som inte gör så mycket mer än att arrangera evenemang.
"Men några av de andra objekten verkar vara för ambitiösa för OWASP, som har en volontärstyrelse och en liten driftpersonal. Till exempel skulle punkten att "aktivt hantera projektportföljen och kapitlen" kräva en rejäl insats framöver, vilket kanske inte är något stiftelsen kan göra med dagens resurser”, säger hon. "Dessutom skulle förslaget om finansiering av prioriterade projekt kräva en förändring av dagens modell och kan frånta nya projekt rösträtt."
Som hon ser det kommer förslaget att kräva drastiska förändringar av finansieringsmodellen, samhällsmodellen och hur medel fördelas.
"Att göra allt detta i ett svep kommer att bli för störande", säger Wang. "Ett stegvis tillvägagångssätt är det enda sättet att få detta att hända."
För sin del säger OWASP Foundations verkställande direktör Andrew van der Stock att han också håller med om många av punkterna i brevet. Dagen efter att skrivelsen publicerats presenterades förslagen på stiftelsens månatliga styrelsemöte. Han säger att mötet gick bra och han håller med om att styrelsen ändå måste fastställa en prioriterad plan som en del av deras förtroendeuppdrag.
"Utöver hur det presenterades finns det inget där som vi inte håller med om", säger han om brevet. "Jag tror att det definitivt är genomförbart att skapa en plan inom 30 dagar. Min största oro är egentligen om vi inte lyckas uppnå alla de fem målen inom en tidsram som projekten vill att vi ska uppnå det inom.”
Han undrar också om styrelsens nuvarande stadgar och viljan hos OWASP-gemenskapens betalande medlemmar kommer att tillåta den typ av styrning och finansieringsförändringar som medundertecknarna vill ha. Till exempel är OWASP inte inrättat som OSSF-organisationen är, som för närvarande har en styrelse som består av medlemmar som köper sina platser genom företagsmedlemskap och betalar avsevärt för att behålla dessa platser. OWASP har för närvarande cirka 7,000 80,000 ekonomiska medlemmar utöver de 50 500 personer som deltar i samhället genom evenemang, kapitelmöten och projekt. Det betalande medlemskapet inkluderar individer som betalar $5,000 per år, livstidsmedlemmar som betalar $XNUMX och företagssponsorer som betalar $XNUMX XNUMX och uppåt, beroende på nivån på stöd de vill ge.
"Jag tror inte att vårt samhälle skulle stödja den förändringen. Det är en av de saker som jag tror kommer att vara lite orealistisk”, säger van der Stock, som tillägger att den här typen av förändringar skulle kräva en förändring av OWASP:s stadgar, som redan är i de sista stadierna av att ses över till en uppsättning av "ganska standard" ideella stadgar som svar på en upptäckt för ungefär ett år sedan att de ursprungliga stadgarna var ogiltiga enligt Delaware General Corporate Law. Bara det rutinförfarandet krävde en omfattande process som innefattade en omröstning av det allmänna medlemskapet.
Ändå säger van der Stock att OWASP definitivt skulle kunna blomstra om styrelsen kan hitta ett sätt att dra in mer finansiering.
"Om vi kunde få mellan 5 miljoner och 10 miljoner dollar per år, skulle vi kunna få mycket gjort. Om vi kunde få folk att arbeta med projekt på heltid skulle dessa saker dyka upp mycket snabbare och förmodligen med mycket högre kvalitet, säger han och noterar att stiftelsen för närvarande bara har fem anställda på sin förteckning. "Jag tror att den enda friktionen egentligen, och det enda som kan bestridas, är styrmodellen. Jag tror att vårt samhälle skulle ha mycket att säga om det."
Detta är också Williams oro.
"Jag är orolig att OWASP inte kommer att kunna svara på brevet med tanke på de nuvarande styrningsstrukturerna", säger han.
Men enligt Curphey var styrelsemötet en bra början på att lägga fram förändringsmakarnas förslag och överväga nästa steg.
– Styrelsemötet var positivt, säger han. – Det är en lång väg kvar, men vi får se. Jag var visserligen tvungen att gå tidigt för att delta i ett annat styrelsemöte, men när jag lämnade var jag väldigt nöjd med framsteg och önskan från nuvarande styrelse att anpassa och förändra.”
Varför ska CISO bry sig?
Den stora frågan för CISO:er och säkerhetsutövare är om något av det här interna jockeyandet på OWASP verkligen spelar någon roll för dem. Enligt Wang behöver de beslut och åtgärder som stiftelsen gör idag inte nödvändigtvis direkt påverka CISO:er just nu. Men det kan ha en långtidseffekt som påverkar vilken typ av teknikalternativ de kommer att ha för att hjälpa utvecklare på lång sikt.
"Detta kan resultera i bättre stöd för framväxande teknologier, vilket i efterhand kan påverka hur utövare använder dessa tekniker", säger hon.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/edge-articles/is-owasp-at-risk-of-irrelevance
- $ 10 miljoner
- 000
- 10
- 2001
- 2011
- 2023
- 7
- a
- Able
- Om Oss
- Enligt
- Uppnå
- Handling
- åtgärder
- aktivt
- anpassa
- lagt till
- Dessutom
- Lägger
- anta
- förespråkare
- förespråkar
- Efter
- aggressiv
- smidig
- Justerar
- Alla
- ensam
- redan
- alltid
- ambitiösa
- bland
- och
- Annan
- visas
- Ansökan
- applikationssäkerhet
- tillämpningar
- tillvägagångssätt
- appar
- argumenterar
- runt
- försäkran
- attackera
- förväntat
- Autentisering
- Författaren
- medvetenhet
- tillbaka
- baserat
- därför att
- Där vi får lov att vara utan att konstant prestera,
- tror
- Bättre
- mellan
- Bortom
- bud
- Stor
- Bit
- ombord
- styrelseledamot
- styrelse
- lyft
- födda
- Botten
- bubbla
- SLUTRESULTAT
- byggt
- Köp
- kallas
- anropande
- Kampanj
- vilken
- fall
- centraliserad
- säkerligen
- kedja
- Ordförande
- byta
- Förändringar
- Kapitel
- laddning
- chef
- produktchef
- nära
- Medgrundare
- Kodning
- samverkan
- kommersiella
- Kommunikation
- samfundet
- komponenter
- Oro
- aktuella
- oro
- med tanke på
- sammanhang
- fortsätter
- kontinuerlig
- Däremot
- contributors
- Företag
- kunde
- Skapa
- CTO
- kultur
- Aktuella
- För närvarande
- Cybersäkerhet
- dag
- Dagar
- årtionde
- beslut
- dedicerad
- definitivt
- Delaware
- leverera
- leverans
- krävande
- beroende
- utplacerade
- utvecklade
- Utvecklare
- utvecklare
- Utveckling
- DID
- direkt
- Direktör
- Direktörer
- Upptäckten
- störande
- distribueras
- dollar
- domäner
- ner
- dussin
- driven
- drivande
- under
- Tidig
- Utbildning
- effekt
- effektivt
- ansträngning
- eliminera
- inbäddade
- möjliggöra
- Företag
- företag
- Hela
- Entrepreneur
- Miljö
- speciellt
- händelser
- allt
- exempel
- verkställande
- Verkställande direktör
- expanderade
- experter
- omfattande
- Ansikte
- faktorer
- ganska
- finansiering
- finansiella
- hitta
- Förnamn
- flaggskepp
- brister
- blomstra
- fokuserade
- efter
- Tidigare
- Framåt
- fundament
- Grundad
- grundare
- friktion
- vänliga
- från
- Bränsle
- full
- finansiering
- fundraise
- Insamlingar
- fonder
- spalt
- Allmänt
- Genesis
- skaffa sig
- GitHub
- Ge
- ges
- Välgörenhet
- Go
- Mål
- Går
- kommer
- god
- styrning
- Grupp
- Väx
- vuxen
- sidan
- hända
- hänt
- har
- kraftigt
- hjälpa
- hjälpa
- hög profil
- högre
- hyra
- Träffa
- Hål
- värd
- värdar
- Hur ser din drömresa ut
- HTTPS
- Tanken
- Inverkan
- effektfull
- omöjligt
- förbättra
- in
- ingår
- innefattar
- Inklusive
- oberoende av
- individer
- Infrastruktur
- initiativ
- Innovation
- installera
- inre
- Internet
- involverade
- iot
- problem
- IT
- artikel
- Ha kvar
- Nyckel
- Snäll
- arbetskraft
- Efternamn
- senaste
- Lag
- leda
- ledare
- ledare
- Lämna
- brev
- Nivå
- livstid
- linje
- linux
- linux foundation
- Lista
- liten
- lokal
- Lång
- lång sikt
- se
- Lot
- älskar
- större
- göra
- GÖR
- hantera
- chefer
- hantera
- många
- markera
- Betyder Något
- förfall
- Mognadsmodell
- möte
- möten
- medlem
- Medlemmar
- medlemskap
- metoder
- microservices
- kanske
- miljon
- miljoner
- Mission
- Mobil
- mobil-appar
- modell
- modeller
- Modern Konst
- månad
- mer
- mest
- rörliga
- ömsesidigt
- nödvändigtvis
- nödvändigt för
- Behöver
- behov
- Nästa
- Ideell organisation
- antal
- talrik
- Officer
- ONE
- öppet
- öppen källkod
- driva
- drift
- Tillbehör
- organisation
- organisationer
- ursprungliga
- Övriga
- utanför
- egen
- Fred
- del
- deltagare
- delta
- Tidigare
- mönster
- Betala
- betalar
- Personer
- bit
- Planen
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- nöjd
- poäng
- portfölj
- positiv
- praxis
- presenteras
- Prioritera
- prioriteras
- förmodligen
- Problem
- problem
- process
- Produkt
- Produkter
- yrkesmän/kvinnor
- Framsteg
- projektet
- projekt
- lovar
- förslag
- förslag
- ger
- ombud
- Offentliggörande
- publicerade
- kvalitet
- fråga
- snabbare
- snabbt
- radikalt
- höja
- insamlat
- Red
- minska
- reflektera
- relevanta
- kräver
- Obligatorisk
- Resurser
- Svara
- respons
- resultera
- Ripple
- Risk
- roster
- Körning
- Nämnda
- Samma
- säger
- omfattning
- säkra
- säkerhet
- ser
- Tjänster
- portion
- in
- skall
- Undertecknarna tecknarna~~POS=HEADCOMP
- signerad
- signifikant
- signifikant
- helt enkelt
- eftersom
- webbplats
- Slate
- Small
- So
- Mjukvara
- mjukvaruutveckling
- några
- något
- Källa
- Utrymme
- fart
- Sponsorer
- Personal
- stadier
- intressenter
- standard
- starta
- bo
- stannade
- Steg
- Fortfarande
- lager
- struktur
- väsentlig
- framgångsrik
- leverera
- leveranskedjan
- stödja
- supporter
- Stödjande
- System
- Ta
- tar
- Teknisk
- Tekniken
- Teknologi
- tio
- Smakämnen
- Linjen
- Projekten
- världen
- deras
- sak
- saker
- Tredje
- denna vecka
- tusentals
- tre
- Genom
- tid
- tidsram
- till
- i dag
- alltför
- verktyg
- topp
- Top 10
- Topp tio
- traditionell
- Öppenhet
- Uppdateringar
- us
- användning
- försäljare
- volontär
- Rösta
- sårbarheter
- ville
- användbara
- webb
- webbapplikationer
- webbsidor
- vecka
- Vad
- om
- som
- medan
- VEM
- Hela
- bredare
- kommer
- beredd
- inom
- utan
- Vann
- Arbete
- arbetade
- arbetssätt
- fungerar
- världen
- orolig
- skulle
- skrivning
- år
- år
- Youtube
- Zed
- zephyrnet
