Чи ризикує OWASP стати неактуальним?

Чи ризикує OWASP стати неактуальним?

Мітка часу: 17 лютого 2023 6:05
Чи ризикує OWASP стати неактуальним? PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.

Оскільки OWASP Foundation переживає третє десятиліття свого існування, багато експертів із безпеки додатків і волонтерів OWASP кажуть, що настав час для організації внести деякі великі зміни, щоб залишатися актуальною. Цього тижня група з понад 60 високопоставлених членів OWASP надіслала відкритий лист до ради директорів OWASP та до виконавчого директора фонду з вимогою суттєвих змін до фонду. Багато з цих підписантів були керівниками флагманських проектів OWASP, учасниками та колишніми членами правління OWASP.

«OWASP просто більше не стимулює інновації», — каже співзасновник і технічний директор Contrast Security Джефф Вільямс, автор першої десятки найкращих OWASP, голова OWASP з 2001 по 2011 роки та один із співавторів. «Відкритий вихідний код змінився, і OWASP має не відставати, покращуючи підтримку учасників».

Серед підписантів також були двоє чинних членів правління, Гленн тен Кейт і Марк Керфі. Хоча Керфі каже, що лист є результатом спільної співпраці всередині групи, він також дуже узгоджується з маніфест, який він опублікував минулого року як частина його успішної заявки на місце в правлінні 2023 року. Як засновник OWASP, Карфі деякий час не брав безпосередньої участі в організації, але завжди підтримував і захищав OWASP, поки він був зайнятий як спеціаліст із безпеки, лідер продуктів безпеки та підприємець у сфері безпеки додатків. .

Керфі зосередився на наступних трьох основних моментах під час своєї кампанії до правління:

  • змінити модель фінансування OWASP, щоб вона більше нагадувала те, як Linux Foundation та її Open Software Security Foundation працюють із донорами, щоб підтримати їхній проект,
  • призначити головного спеціаліста з продуктів, який би відповідав за очищення проектів (і визначав пріоритетність тих, що мають значний вплив), а також оновити сайт OWASP, щоб зробити його більш зручним для розробників, і
  • змінити культуру OWASP, щоб усунути бюрократичну тяганину та додати більше прозорості в тому, як постачальники беруть (або не беруть) участь у місії OWASP.

Відкритий лист лунає багато з цих пунктів, водночас закликаючи до змін в управлінні, які могли б підштовхнути до радикальних зусиль у зборі коштів, які, на їхню думку, могли б залучити мільйони доларів для найму відданих розробників і керівників проектів.

OWASP тоді і зараз

Коли OWASP було засновано в далекому 2001 році, це була уривчаста праця любові, заснована прихильниками безпеки додатків, які були стурбовані зростаючим ризиком для Інтернету через незахищені веб-додатки. Вони хотіли підвищити обізнаність про проблему за межами бульбашки інсайдерів з кібербезпеки. І тому OWASP народився, щоб допомогти надати освіту та ресурси не лише професіоналам у сфері безпеки, але й розробникам та зацікавленим сторонам підприємства.

Ідея полягала в тому, щоб надати організаціям технічні вказівки, які могли б дозволити розробникам покращити свої методи кодування та зменшити ризик уразливості програмного забезпечення, яке вони розгорнули. Це був генезис OWASP Top 10, хваленого списку групи 10 найнебезпечніших недоліків у програмах, яка була вперше опублікована в 2003 році і з тих пір породила численні оновлення та підсписки, і яка сприяла створенню цілого ряду проектів безпеки з відкритим кодом, комерційних продуктів і послуг.

З тих ранніх років багато чого змінилося. Інформаційна робота OWASP, безсумнівно, досягла свого результату, і сьогодні група виросла і підтримує понад 240 відділень і десятки тисяч членів і учасників по всьому світу. Тут проводиться повний перелік локальних і глобальних подій, а також низка проектів, як-от Top 10, Модель зрілості Software Assurance (SAMM) і Zed Attack Proxy (ZAP).

Однак обсяг роботи з безпеки додатків значно розширився, оскільки світ вийшов далеко за межі веб-додатків і зараз переповнений мобільними додатками, Інтернетом речей і вбудованими системами, переносними пристроями та всім, що між ними — усе це керується програмним забезпеченням. .

І середовище розробки також радикально змінилося. Сучасні практики розробки підхопили такі методи, як безперервна інтеграція/безперервна доставка (CI/CD), DevOps і гнучка розробка, щоб перейняти традиційні шаблони каскадної розробки. Розробники значною мірою покладаються на архітектуру мікросервісів і комбінують компоненти з відкритим кодом для створення свого програмного забезпечення.

На жаль, незважаючи на всі ці зміни, деякі речі також залишилися незмінними. Багато проблем у цій першій топ-10 OWASP є такими ж проблематичними сьогодні та все ще в списку, включаючи недоліки впровадження, неправильні конфігурації та збої автентифікації. Однак тепер ці набридлі проблеми, які ніколи не зникли, лише посилюються розширенням масштабу, швидкістю розробки та плутаниною залежностей ланцюга поставок програмного забезпечення, які з’явилися протягом багатьох років.

Вимагання змін

У контексті цих факторів багато інсайдерів OWASP стверджують, що некомерційна організація не встигає за темпами змін у світі розробки програмного забезпечення. Вони кажуть, що фонд не підтримує потреби спільноти OWASP, особливо щодо фонду флагманські проекти, який включає понад десяток проектів серед 274 інших проектів OWASP.

«Те, що працювало в минулому, просто не працює зараз, і OWASP потрібно змінити. Рік за роком висловлювалися занепокоєння та обіцяли зміни, але рік за роком цього не сталося», — йдеться у відкритому листі до ради директорів OWASP та виконавчого директора фонду. «Розрив між тим, чого хочуть наші проекти та спільнота навколо них, і підтримкою, яку надає OWASP, продовжує зростати».

Після публікації цього останнього повідомлення автори листа зазначають, що деякі з найвпливовіших проектів OWASP — ті, на які покладаються багато підприємств і продукти, які підприємства використовують сьогодні — залишаються «функціонувати незалежно, у деяких випадках керуючи власним спонсорством, фінанси, веб-сайти, домени, комунікаційні платформи та інструменти розробника».

Підписанти вимагають кардинальних змін у моделях фінансування та управлінні, щоб повернути групу до обслуговування потреб розробників у контексті сучасних моделей доставки програмного забезпечення. Вони розробили список дій, який складається з п’яти основних пунктів, закликаючи основу та правління:

  1. розробити план спільноти, який визначає пріоритетність ключових ініціатив, вказуючи на план OSSF як на орієнтир
  2. змінити структуру управління фонду, щоб «краще відображати потреби всієї спільноти безпеки»
  3. започаткувати агресивну фінансову кампанію, щоб зібрати від 5 до 10 мільйонів доларів США на оплату послуг відданих розробників, менеджерів спільноти та допоміжного персоналу
  4. покращити централізовану інфраструктуру та послуги для громади, щоб зняти тепло з проектів
  5. більш централізовано керувати портфоліо продуктів і тим, що відбувається в місцевих відділеннях

Вільямс каже, що підписав, оскільки вважав, що зміни, до яких закликала група, «на жаль, необхідні».

«OWASP має кричущу діру в тому, що не має фінансового плану, побудованого знизу вгору на основі потреб проекту», — каже він. «Без цього неможливо ефективно збирати кошти. Запис агресивного плану фінансування, значне збільшення фінансування та реалізація більш агресивних проектів — це єдиний спосіб забезпечити швидкий рух OWASP».

Реальності наступного кроку

Питання полягає в тому, чи фонд і спільнота OWASP бажають і можуть внести деякі з цих змін. Відповідно до Ченьсі Ван, колишнього члена правління OWASP, у пропозиції є багато пунктів, які «дуже потрібні», оскільки вона вважає, що OWASP перетворився на організацію, яка займається лише проведенням заходів.

«Але деякі інші пункти здаються занадто амбітними для OWASP, у якого є рада волонтерів і невеликий робочий персонал. Наприклад, пункт «активне управління портфоліо проектів і відділами» вимагав би значних зусиль у майбутньому, що може бути не те, що фонд може зробити з сьогоднішніми ресурсами», – каже вона. «Крім того, пропозиція щодо фінансування пріоритетних проектів потребуватиме зміни сьогоднішньої моделі та може позбавити прав на нові проекти».

На її думку, пропозиція вимагатиме кардинальних змін у моделі фінансування, моделі громади та способі розподілу коштів.

«Зробити все це одним махом буде надто руйнівним», — каже Ван. «Поетапний підхід — єдиний спосіб досягти цього».

Зі свого боку, виконавчий директор OWASP Foundation Ендрю ван дер Сток каже, що він також згоден з багатьма пунктами в листі. Наступного дня після публікації листа пропозиції були представлені на щомісячному засіданні правління фонду. Він каже, що зустріч пройшла добре, і він погоджується, що правління все одно має встановити пріоритетний план як частину своїх довірчих обов’язків.

«Крім того, як це було представлено, у ньому немає нічого, з чим ми не погоджуємося», — говорить він про лист. «Я вважаю, що створити план протягом 30 днів безумовно можливо. Я справді найбільше занепокоєний тим, що нам не вдасться досягти всіх п’яти цілей у терміни, передбачені проектами».

Він також цікавиться, чи дозволять поточний статут правління та бажання членів спільноти OWASP, які платять, змінити управління та фінансування, яких хочуть співпідписанти. Наприклад, OWASP налаштовано не так, як організація OSSF, яка наразі має правління, яке складається з членів, які купують свої місця через корпоративне членство та платять значні кошти, щоб зберегти ці місця. Наразі OWASP налічує близько 7,000 фінансових членів на додаток до 80,000 50 людей, які беруть участь у спільноті через заходи, зустрічі відділів і проекти. Це платне членство включає фізичних осіб, які платять 500 доларів на рік, постійних учасників, які платять 5,000 доларів, і корпоративних спонсорів, які платять XNUMX доларів і більше, залежно від рівня підтримки, який вони хочуть надати.

«Я не думаю, що наша спільнота підтримає цю зміну. Це одна з тих речей, які, на мою думку, будуть дещо нереалістичними», — каже ван дер Сток, який додає, що такі зміни потребуватимуть змін у статуті OWASP, який уже перебуває на останніх стадіях перегляду. набір «досить стандартних» статутів некомерційних організацій у відповідь на відкриття близько року тому, що оригінальні статути були недійсними відповідно до Загального корпоративного права штату Делавер. Лише ця рутинна процедура вимагала тривалого процесу, який включав голосування загальних членів.

Тим не менш, ван дер Сток каже, що OWASP безперечно може процвітати, якщо правління знайде спосіб залучити більше фінансування.

«Якби ми могли отримувати від 5 до 10 мільйонів доларів на рік, ми могли б зробити багато. Якби ми могли залучити людей до роботи над проектами повний робочий день, ці речі з’являлися б набагато швидше та, ймовірно, з набагато вищою якістю», — каже він, зазначивши, що зараз у фонді лише п’ять співробітників. «Я думаю, що справді єдине протиріччя і єдине, що може бути оскарженим, це модель управління. Я думаю, що нашій спільноті було б багато про що сказати».

Це також хвилює Williams.

«Я хвилююся, що OWASP не зможе відповісти на лист, враховуючи поточні структури управління», — каже він.

Але, за словами Керфі, засідання правління стало хорошим початком для викладення пропозицій тих, хто готує зміни, і розгляду наступних кроків.

«Засідання правління було позитивним, — каже він. «Попереду ще довгий шлях, але ми побачимо. Мені дійсно довелося піти раніше, щоб відвідати чергове засідання правління, але коли я пішов, я був дуже задоволений прогресом і бажанням нинішнього правління адаптуватися та змінюватися».

Чому CISO повинні піклуватися?

Велике питання для CISO та практиків безпеки полягає в тому, чи справді для них має значення будь-яке з цього внутрішнього зловживання в OWASP. За словами Ванга, рішення та дії, які приймає сьогодні фонд, не обов’язково можуть прямо зараз впливати на CISO. Але це може мати довготерміновий хвилевий ефект, який вплине на тип технологічних варіантів, які вони матимуть для допомоги розробникам у довгостроковій перспективі.

«Це може призвести до кращої підтримки нових технологій, що в подальшому може вплинути на те, як практики засвоюють ці технології», — каже вона.

Часова мітка:

Більше від Темне читання