OWASP 是否面临无关紧要的风险?

OWASP 是否面临无关紧要的风险?

时间戳:17年2023月6日下午05:XNUMX
OWASP 是否面临无关紧要的风险? Plato区块链数据智能。垂直搜索。人工智能。

随着 OWASP 基金会走过其存在的第三个十年,许多应用程序安全专家和 OWASP 志愿者贡献者表示,该组织是时候做出一些重大改变以保持相关性了。 本周,一群 60 多位备受瞩目的 OWASP 成员发送了一份 公开信 向 OWASP 董事会和基金会执行董事要求对基金会进行重大改革。 这些共同签名者中有许多是旗舰 OWASP 项目的领导者、终身贡献者和前 OWASP 董事会成员。

“OWASP 根本不再推动创新,”Contrast Security 联合创始人兼首席技术官 Jeff Williams 说,他是第一个 OWASP Top Ten 的作者,2001 年至 2011 年的 OWASP 主席,也是共同签署人之一。 “开源已经改变,OWASP 需要通过更好地支持贡献者来跟上。”

签署者中还有两名现任董事会成员,格伦十凯特和马克柯菲。 虽然 Curphey 说这封信是团队内部相互合作的结果,但它也与 他去年发表的宣言 作为他成功竞标 2023 年董事会席位的一部分。 作为 OWASP 的创始人,Curphey 有一段时间没有直接参与该组织,但在他忙于成为应用程序安全领域的安全从业者、安全产品负责人和企业家的同时,他一直是 OWASP 的支持者和倡导者.

Curphey 在竞选董事会期间主要关注以下三个要点:

  • 改变 OWASP 的资助模式,使其看起来更像 Linux 基金会及其开放软件安全基金会如何与捐助者合作以支持他们的项目,
  • 任命一名首席产品官来领导清理项目(并优先考虑影响大的项目)以及翻新 OWASP 网站,使其对开发人员更加友好,以及
  • 改变 OWASP 的文化以消除繁文缛节,并增加供应商如何(或不)参与 OWASP 使命的透明度。

公开信呼应 其中许多点,同时呼吁改变治理方式,这可能会引发巨大的筹款努力,他们认为这可以吸引数百万美元来聘请敬业的开发人员和项目负责人。

OWASP 过去和现在

当 OWASP 于 2001 年成立时,它是由应用程序安全倡导者创立的一个充满爱心的劳动,他们担心不安全的 Web 应用程序对 Internet 造成的风险越来越大。 他们希望提高网络安全内部人士对泡沫之外问题的认识。 因此,OWASP 的诞生不仅是为了帮助提供教育和资源给安全专业人员,还帮助开发人员和企业利益相关者。

这个想法是为组织提供技术指导,使开发人员能够改进他们的编码实践并降低他们部署的软件中存在漏洞的风险。 这就是 OWASP Top 10 的起源,该组织自吹自擂的 10个最危险的缺陷 在 2003 年首次发布的应用程序中,此后产生了大量更新和子列表,并推动了大量安全开源项目、商业产品和服务。

自那些早年以来,很多事情都发生了变化。 OWASP 的意识部分无疑达到了目标,今天该组织已经发展到支持 240 多个分会以及世界各地数以万计的成员和参与者。 它举办了一系列本地和全球活动,以及许多项目,如前 10 名、软件保障成熟度模型 (SAMM) 和 Zed 攻击代理 (ZAP)。

然而,随着世界已经超越 Web 应用程序,现在充斥着移动应用程序、物联网和嵌入式系统、可穿戴设备以及介于两者之间的一切——所有这些都是由软件驱动的,应用程序安全工作的范围已经大大扩大.

开发环境也发生了根本性的变化。 现代开发实践采用了持续集成/持续交付 (CI/CD)、DevOps 和敏捷开发等方法来取代传统的瀑布式开发模式。 开发人员严重依赖微服务架构和混合搭配开源组件来构建他们的软件。

不幸的是,面对所有这些变化,有些事情也保持不变。 第一个 OWASP Top 10 中的许多问题在今天仍然存在并且仍然在列表中,包括注入缺陷、错误配置和身份验证失败。 然而,现在,这些从未消失的烦人问题只会因范围扩大、开发速度以及多年来添加到组合中的软件供应链依赖关系的混乱而加剧。

呼吁改变

在这些因素的背景下,许多 OWASP 内部人士认为非营利组织没有跟上软件开发领域的变化步伐。 他们说基金会不支持 OWASP 社区的需求,特别是关于基金会的 旗舰项目,其中包括 OWASP 的 274 个其他项目中的十几个项目。

“过去行之有效的方法现在行不通了,OWASP 需要改变。 年复一年,人们提出了担忧,并承诺要做出改变,但年复一年,这并没有发生,”这封致 OWASP 董事会和基金会执行董事的公开信说。 “我们的项目和他们周围的社区想要什么,以及 OWASP 提供的支持之间的差距继续扩大。”

随着这封最新信件的发布,这封信的共同签署人表示,OWASP 的一些最具影响力的项目——许多企业和企业今天使用的产品都依赖这些项目——将“独立运作,在某些情况下管理自己的赞助,财务、网站、域、通信平台和开发人员工具。”

签署方呼吁对融资模式和治理进行一些重大改变,以使该组织重新在现代软件交付模式的背景下为开发人员的需求提供服务。 他们制定了一份包含五个要点的行动清单,呼吁基金会和董事会:

  1. 制定优先考虑关键举措的社区计划,并以 OSSF 计划为参考
  2. 改变基金会的治理结构以“更好地反映整个安全社区的需求”
  3. 开展积极的筹资活动,筹集 5 万至 10 万美元,用于支付专门的开发人员、社区经理和支持人员的费用
  4. 改善社区的集中式基础设施和服务,以减轻项目的压力
  5. 更集中地管理产品组合以及当地分会的活动

威廉姆斯说他签了名是因为他觉得该组织要求的改变是“不幸的是必要的”。

“OWASP 有一个明显的漏洞,即没有根据项目需求自下而上地制定财务计划,”他说。 “否则,就不可能有效筹款。 写下一个积极的筹资计划,追求一些大的资金增量,并承担更积极的项目是保持 OWASP 快速发展的唯一方法。”

下一步的现实

问题是基金会和 OWASP 社区是否愿意并能够做出其中的一些改变。 根据 王晨曦,前 OWASP 董事会成员,提案中有许多“非常需要”的项目,因为她认为 OWASP 已经退化为一个除了举办活动之外什么都不做的组织。

“但是其他一些项目对于 OWASP 来说似乎过于雄心勃勃,它有一个志愿者委员会和一个小的运营人员。 例如,‘积极管理项目组合和章节’的项目将需要大量的努力向前推进,这可能不是基金会利用今天的资源可以做到的事情,”她说。 “此外,关于为优先项目提供资金的提案将需要改变当今的模式,并可能剥夺新项目的权利。”

在她看来,该提案将要求对筹资模式、社区模式和资金分配方式进行重大改变。

“一口气完成所有这些事情会造成太大的破坏,”王说。 “分阶段的方法是实现这一目标的唯一途径。”

OWASP 基金会执行董事 Andrew van der Stock 表示,他也同意信中的许多观点。 这封信发表后的第二天,这些提案就在基金会每月的董事会会议上提出。 他说会议进行得很顺利,他同意董事会无论如何都需要制定一个优先计划,作为他们受托责任的一部分。

“除了它的呈现方式,我们没有不同意的地方,”他谈到这封信时说。 “我认为在 30 天内制定计划是绝对可行的。 我主要担心的是,如果我们无法在项目希望我们实现的时间范围内实现所有五个目标。”

他也确实想知道董事会目前的章程和 OWASP 社区付费成员的意愿是否会允许共同签名者想要的那种治理和资金变化。 例如,OWASP 的设置方式与 OSSF 组织不同,该组织目前有一个董事会,其成员通过公司会员资格购买席位并支付大量费用以保留这些席位。 OWASP 目前拥有大约 7,000 名财务成员,此外还有 80,000 名通过活动、分会会议和项目参与社区的人。 付费会员包括每年支付 50 美元的个人、支付 500 美元的终身会员以及支付 5,000 美元及以上的企业赞助商,具体取决于他们想要提供的支持水平。

“我认为我们的社区不会支持这种改变。 这是我认为有点不现实的事情之一。一套“相当标准”的非营利组织章程,以回应大约一年前根据特拉华州一般公司法发现原始章程无效的发现。 仅这一例行程序就需要一个广泛的过程,其中包括全体成员的投票。

尽管如此,van der Stock 表示,如果董事会能够找到吸引更多资金的方法,OWASP 肯定会蓬勃发展。

“如果我们每年能获得 5 万到 10 万美元,我们就能完成很多工作。 如果我们能让人们全职从事项目,这些事情就会更快,而且质量可能会更高,”他说,并指出该基金会目前名册上只有五名员工。 “我认为真正唯一的摩擦,也是唯一可能有争议的事情,是治理模式。 我认为我们的社区对此有很多话要说。”

这也是威廉姆斯的担忧。

“考虑到目前的治理结构,我担心 OWASP 无法回复这封信,”他说。

但根据 Curphey 的说法,董事会会议是制定变革者提案和考虑下一步行动的良好开端。

“董事会会议是积极的,”他说。 “还有很长的路要走,但我们拭目以待。 我确实不得不提​​前离开去参加另一次董事会会议,但当我离开时,我对现任董事会的进步和适应和改变的愿望感到非常高兴。”

为什么 CISO 应该关心?

对于 CISO 和安全从业者来说,最大的问题是 OWASP 的这种内部竞争是否对他们真的很重要。 据王说,基金会今天做出的决定和行动可能不一定直接影响到 CISO。 但它可能会产生长期的连锁反应,影响他们为长期帮助开发人员而拥有的技术选择。

“这可能会更好地支持新兴技术,这可能会影响从业者采用这些技术的方式,”她说。

时间戳记:

更多来自 暗读