OWASP có nguy cơ không phù hợp không?

Khi Tổ chức OWASP điều hướng thập kỷ tồn tại thứ ba của mình, nhiều chuyên gia bảo mật ứng dụng và những người đóng góp tình nguyện cho OWASP cho biết đã đến lúc tổ chức phải thực hiện một số thay đổi lớn để luôn phù hợp. Tuần này, một nhóm gồm hơn 60 thành viên nổi tiếng của OWASP đã gửi một mở thư tới Hội đồng quản trị OWASP và giám đốc điều hành của quỹ yêu cầu những thay đổi quan trọng đối với quỹ. Nhiều người trong số những người đồng ký tên này là lãnh đạo của các dự án hàng đầu của OWASP, những người đóng góp trọn đời và cựu thành viên hội đồng quản trị của OWASP.

“OWASP đơn giản là không còn thúc đẩy sự đổi mới nữa,” đồng sáng lập Contrast Security và CTO Jeff Williams, tác giả của Top Ten OWASP đầu tiên, chủ tịch OWASP từ năm 2001 đến năm 2011 và là một trong những người đồng ký kết. “Nguồn mở đã thay đổi và OWASP cần phải theo kịp bằng cách hỗ trợ những người đóng góp tốt hơn.”

Trong số những người ký tên còn có hai thành viên hội đồng quản trị hiện tại, Glenn ten Cate và Mark Curphey. Trong khi Curphey nói rằng bức thư là kết quả của sự hợp tác lẫn nhau trong nhóm, nó cũng rất phù hợp với một tuyên ngôn ông xuất bản năm ngoái như một phần trong nỗ lực đấu thầu thành công của anh ấy cho một ghế trong hội đồng quản trị năm 2023. Là người sáng lập OWASP, Curphey đã không tham gia trực tiếp vào tổ chức trong một thời gian, nhưng luôn là người ủng hộ và bênh vực cho OWASP trong khi anh ấy bận rộn với vai trò là một chuyên gia bảo mật, lãnh đạo sản phẩm bảo mật và doanh nhân trong lĩnh vực bảo mật ứng dụng. .

Curphey tập trung vào ba điểm chính sau đây trong chiến dịch tranh cử vào hội đồng quản trị:

• để thay đổi mô hình cấp vốn của OWASP cho giống với cách Linux Foundation và Open Software Security Foundation của nó làm việc với các nhà tài trợ để hỗ trợ dự án của họ,
• để cài đặt một giám đốc sản phẩm để lãnh đạo phụ trách làm sạch các dự án (và ưu tiên những dự án có tác động cao) cũng như cải tạo trang web OWASP để làm cho nó thân thiện hơn với nhà phát triển và
• để thay đổi văn hóa của OWASP nhằm loại bỏ băng đỏ và tăng thêm tính minh bạch về cách thức các nhà cung cấp tham gia (hoặc không) tham gia vào sứ mệnh của OWASP.

Thư ngỏ vang vọng nhiều điểm trong số này, đồng thời kêu gọi thay đổi cách quản trị có thể thúc đẩy nỗ lực mạnh mẽ trong việc gây quỹ mà họ cảm thấy có thể thu về hàng triệu đô la để thuê các nhà phát triển và lãnh đạo dự án tận tâm.

OWASP Ngày ấy và Bây giờ

Khi OWASP được thành lập vào năm 2001, đó là một nỗ lực lao động đầy tình yêu thương được thành lập bởi những người ủng hộ bảo mật ứng dụng, những người lo ngại về rủi ro ngày càng tăng đối với Internet do các ứng dụng Web không an toàn gây ra. Họ muốn nâng cao nhận thức về vấn đề bên ngoài bong bóng của những người trong cuộc về an ninh mạng. Vì vậy, OWASP đã ra đời để giúp cung cấp giáo dục và tài nguyên cho không chỉ các chuyên gia bảo mật mà còn cả các nhà phát triển và các bên liên quan trong doanh nghiệp.

Ý tưởng là cung cấp cho các tổ chức hướng dẫn kỹ thuật có thể cho phép các nhà phát triển cải thiện các phương pháp mã hóa của họ và giảm nguy cơ lỗ hổng bảo mật trong phần mềm mà họ triển khai. Đây là nguồn gốc của Top 10 OWASP, danh sách ca ngợi của nhóm về 10 lỗ hổng nguy hiểm nhất trong các ứng dụng được xuất bản lần đầu tiên vào năm 2003 và kể từ đó đã tạo ra nhiều bản cập nhật và danh sách phụ, đồng thời đã thúc đẩy một loạt các dự án, sản phẩm thương mại và dịch vụ mã nguồn mở bảo mật.

Rất nhiều thứ đã thay đổi kể từ những năm đầu tiên đó. Phần nhận thức của OWASP chắc chắn đã đạt được thành công và ngày nay, nhóm đã phát triển để hỗ trợ hơn 240 chương và hàng chục nghìn thành viên và người tham gia trên khắp thế giới. Nó tổ chức đầy đủ các sự kiện địa phương và toàn cầu, cùng một số dự án như Top 10, Mô hình trưởng thành bảo đảm phần mềm (SAMM) và Proxy tấn công Zed (ZAP).

Tuy nhiên, phạm vi của công việc bảo mật ứng dụng cần thực hiện đã mở rộng đáng kể khi thế giới đã vượt xa các ứng dụng Web và hiện tràn ngập các ứng dụng di động, IoT và hệ thống nhúng, thiết bị đeo được và mọi thứ ở giữa — tất cả đều được điều khiển bởi phần mềm .

Và môi trường phát triển cũng đã thay đổi hoàn toàn. Các phương pháp phát triển hiện đại đã kết hợp các phương pháp như tích hợp liên tục/phân phối liên tục (CI/CD), phát triển DevOps và Agile để tiếp quản các mô hình phát triển thác nước truyền thống. Các nhà phát triển chủ yếu dựa vào kiến ​​trúc vi dịch vụ và kết hợp các thành phần nguồn mở để xây dựng phần mềm của họ.

Thật không may, khi đối mặt với tất cả những thay đổi đó, một số thứ cũng không thay đổi. Nhiều vấn đề trong Top 10 OWASP đầu tiên đó cũng giống như vấn đề ngày nay và vẫn còn trong danh sách, bao gồm lỗi chèn, cấu hình sai và lỗi xác thực. Tuy nhiên, giờ đây, những vấn đề dai dẳng chưa bao giờ biến mất này chỉ trở nên trầm trọng hơn bởi phạm vi mở rộng, tốc độ phát triển và mớ phụ thuộc chuỗi cung ứng phần mềm đã được thêm vào hỗn hợp trong nhiều năm.

Kêu gọi thay đổi

Trong bối cảnh của những yếu tố này, nhiều người trong cuộc của OWASP lập luận rằng tổ chức phi lợi nhuận đã không theo kịp tốc độ thay đổi trong thế giới phát triển phần mềm. Họ nói rằng nền tảng không hỗ trợ nhu cầu của cộng đồng OWASP, đặc biệt là đối với nền tảng của dự án hàng đầu, bao gồm hơn chục dự án trong số 274 dự án khác của OWASP.

“Những gì hoạt động trong quá khứ đơn giản là không hoạt động bây giờ và OWASP cần phải thay đổi. Năm này qua năm khác, những lo ngại đã được nêu ra và đã có những hứa hẹn về sự thay đổi, nhưng năm này qua năm khác điều đó vẫn chưa xảy ra,” bức thư ngỏ gửi Ban Giám đốc OWASP và giám đốc điều hành của quỹ viết. “Khoảng cách giữa những gì các dự án của chúng tôi và cộng đồng xung quanh họ muốn, và sự hỗ trợ mà OWASP cung cấp, tiếp tục gia tăng.”

Với việc công bố bức thư mới nhất này, những người đồng ký tên trong bức thư nói rằng một số dự án có tác động lớn nhất của OWASP — những dự án được nhiều doanh nghiệp tin cậy và các sản phẩm mà doanh nghiệp sử dụng ngày nay — được để “hoạt động độc lập, trong một số trường hợp, quản lý các khoản tài trợ của chính họ, tài chính, trang web, miền, nền tảng truyền thông và công cụ dành cho nhà phát triển.”

Các bên ký kết đang kêu gọi một số thay đổi mạnh mẽ trong mô hình tài trợ và quản trị để đưa nhóm quay trở lại phục vụ nhu cầu của các nhà phát triển trong bối cảnh các mô hình phân phối phần mềm hiện đại. Họ đã phát triển một danh sách hành động bao gồm năm điểm chính, kêu gọi nền tảng và hội đồng quản trị:

1. phát triển một kế hoạch cộng đồng ưu tiên các sáng kiến ​​quan trọng, lấy kế hoạch OSSF làm tài liệu tham khảo
2. thay đổi cấu trúc quản trị của quỹ để “phản ánh tốt hơn nhu cầu của toàn bộ cộng đồng bảo mật”
3. thiết lập một chiến dịch tài trợ tích cực để huy động từ 5 triệu đô la đến 10 triệu đô la để trả cho các nhà phát triển tận tâm, người quản lý cộng đồng và nhân viên hỗ trợ
4. cải thiện cơ sở hạ tầng và dịch vụ tập trung cho cộng đồng để giảm nhiệt cho các dự án
5. nắm quyền kiểm soát tập trung hơn trong việc quản lý danh mục sản phẩm và những gì diễn ra trong các chi nhánh địa phương

Williams nói rằng anh ấy đã ký vì anh ấy cảm thấy rằng những thay đổi mà nhóm kêu gọi là “rất cần thiết.”

Ông nói: “OWASP có một lỗ hổng rõ ràng trong việc không có một kế hoạch tài chính được xây dựng từ dưới lên dựa trên nhu cầu của dự án. “Không có điều đó, không thể gây quỹ hiệu quả. Viết ra một kế hoạch tài trợ tích cực, theo đuổi một số khoản tài trợ lớn và tham gia vào các dự án tích cực hơn là cách duy nhất để giữ cho OWASP hoạt động nhanh chóng.”

Thực tế bước tiếp theo

Câu hỏi đặt ra là liệu quỹ và cộng đồng OWASP có sẵn sàng và có thể thực hiện một số thay đổi này hay không. Dựa theo Trần Tây Vương, một cựu thành viên hội đồng quản trị của OWASP, có nhiều mục trong đề xuất là “rất cần thiết” vì cô ấy tin rằng OWASP đã biến thành một tổ chức không làm được gì nhiều ngoài việc tổ chức các sự kiện.

“Nhưng một số hạng mục khác dường như quá tham vọng đối với OWASP, tổ chức có một ban tình nguyện và một đội ngũ nhân viên điều hành nhỏ. Ví dụ: mục 'quản lý tích cực danh mục dự án và các chương' sẽ đòi hỏi một nỗ lực đáng kể trong tương lai, đây có thể không phải là điều mà quỹ có thể làm với các nguồn lực ngày nay,” cô nói. “Ngoài ra, đề xuất về tài trợ cho các dự án ưu tiên sẽ yêu cầu thay đổi mô hình hiện nay và có thể tước quyền của các dự án mới hơn.”

Như cô ấy thấy, đề xuất sẽ yêu cầu những thay đổi mạnh mẽ đối với mô hình tài trợ, mô hình cộng đồng và cách thức phân phối tiền.

Wang nói: “Làm tất cả những điều này trong một lần sẽ gây quá nhiều khó khăn. “Một cách tiếp cận theo từng giai đoạn là cách duy nhất để thực hiện điều này.”

Về phần mình, giám đốc điều hành Quỹ OWASP Andrew van der Stock cho biết ông cũng đồng ý với nhiều điểm trong bức thư. Một ngày sau khi bức thư được xuất bản, các đề xuất đã được trình bày tại cuộc họp hội đồng hàng tháng của quỹ. Anh ấy nói rằng cuộc họp đã diễn ra tốt đẹp và anh ấy đồng ý rằng dù sao hội đồng quản trị cũng cần thiết lập một kế hoạch ưu tiên như một phần nghĩa vụ được ủy thác của họ.

“Ngoài cách nó được trình bày, không có gì trong đó mà chúng tôi không đồng ý,” anh ấy nói về bức thư. “Tôi nghĩ việc lập một kế hoạch trong vòng 30 ngày chắc chắn là khả thi. Mối quan tâm chính của tôi thực sự là nếu chúng ta không thể đạt được tất cả năm mục tiêu trong khung thời gian mà các dự án muốn chúng ta đạt được.”

Anh ấy cũng tự hỏi liệu các quy định hiện tại của hội đồng quản trị và ý chí của các thành viên trả tiền của cộng đồng OWASP có cho phép loại hình quản trị và tài trợ thay đổi mà những người đồng ký tên muốn hay không. Ví dụ: OWASP không được thiết lập theo cách của tổ chức OSSF, hiện có một hội đồng quản trị bao gồm các thành viên mua ghế của họ thông qua tư cách thành viên công ty và trả tiền đáng kể để giữ lại những ghế đó. OWASP hiện có khoảng 7,000 thành viên tài chính bên cạnh 80,000 người tham gia vào cộng đồng thông qua các sự kiện, cuộc họp chi hội và dự án. Tư cách thành viên trả phí đó bao gồm các cá nhân trả 50 đô la một năm, các thành viên trọn đời trả 500 đô la và các nhà tài trợ doanh nghiệp trả 5,000 đô la trở lên, tùy thuộc vào mức độ hỗ trợ mà họ muốn cung cấp.

“Tôi không nghĩ cộng đồng của chúng ta sẽ ủng hộ sự thay đổi đó. Đó là một trong những điều mà tôi nghĩ sẽ hơi phi thực tế,” van der Stock nói, đồng thời cho biết thêm rằng những loại thay đổi này sẽ yêu cầu thay đổi các quy định của OWASP, vốn đã ở giai đoạn cuối của quá trình đại tu thành một tập hợp các quy định phi lợi nhuận “khá tiêu chuẩn” để đáp lại một phát hiện cách đây khoảng một năm rằng các quy định ban đầu không hợp lệ theo Luật Doanh nghiệp Chung của Delaware. Chỉ riêng thủ tục thông thường đó đã yêu cầu một quy trình mở rộng bao gồm một cuộc bỏ phiếu của các thành viên chung.

Tuy nhiên, van der Stock nói rằng OWASP chắc chắn có thể phát triển nếu hội đồng quản trị có thể tìm ra cách thu hút thêm vốn.

“Nếu chúng tôi có thể kiếm được từ 5 triệu đến 10 triệu đô la một năm, chúng tôi có thể làm được rất nhiều việc. Nếu chúng tôi có thể khiến mọi người làm việc toàn thời gian cho các dự án, thì những việc này sẽ xuất hiện nhanh hơn nhiều và có lẽ với chất lượng cao hơn nhiều,” ông nói, đồng thời lưu ý rằng tổ chức hiện chỉ có năm nhân viên trong danh sách của mình. “Tôi thực sự nghĩ rằng xích mích duy nhất và điều duy nhất có thể gây tranh cãi là mô hình quản trị. Tôi nghĩ cộng đồng của chúng ta sẽ có nhiều điều để nói về điều đó.”

Đây cũng là mối quan tâm của Williams.

Ông nói: “Tôi lo lắng rằng OWASP sẽ không thể trả lời thư, với cơ cấu quản trị hiện tại.

Nhưng theo Curphey, cuộc họp hội đồng quản trị là một khởi đầu tốt để đưa ra đề xuất của những người tạo ra sự thay đổi và xem xét các bước tiếp theo.

“Cuộc họp hội đồng rất tích cực,” anh nói. “Vẫn còn một chặng đường dài phía trước, nhưng chúng ta sẽ thấy. Tôi đã phải rời đi sớm để tham dự một cuộc họp hội đồng quản trị khác, nhưng khi tôi rời đi, tôi rất hài lòng với sự tiến bộ và mong muốn từ hội đồng quản trị hiện tại để thích nghi và thay đổi.”

Tại sao CISO nên quan tâm?

Câu hỏi lớn đối với các CISO và những người hành nghề bảo mật là liệu có bất kỳ trò lừa bịp nội bộ nào tại OWASP này thực sự quan trọng đối với họ hay không. Theo Wang, các quyết định và hành động mà nền tảng đưa ra ngày nay có thể không nhất thiết tác động trực tiếp đến các CISO ngay bây giờ. Nhưng nó có thể có tác động gợn sóng dài hạn ảnh hưởng đến loại tùy chọn công nghệ mà họ sẽ có để giúp các nhà phát triển về lâu dài.

Cô ấy nói: “Điều này có thể dẫn đến việc hỗ trợ tốt hơn cho các công nghệ mới nổi, mà về sau có thể tác động đến cách các học viên áp dụng các công nghệ này.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/edge-articles/is-owasp-at-risk-of-irrelevance