Volte para o glossário
|
OWASP

OWASP

A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
Y
X
Z

O que é a OWASP

Pensar em segurança de aplicaçoes é essencial durante todo o ciclo de desenvolvimento de software. E quando se trata de segurança, não há como deixar de mencionar a OWASP.

A OWASP (Open Worldwide Application Security Project) é uma comunidade internacional sem fins lucrativos cuja missão é apoiar as organizações a melhorar a segurança de suas aplicações. Com esse propósito, ela fornece gratuitamente uma variedade de recursos, como artigos, metodologias, documentações, ferramentas e tecnologias relacionadas à segurança de software

A abordagem da OWASP é baseada na ideia de que a segurança de aplicações é um problema que envolve pessoas, processos e tecnologias. Para disseminar essa ideia, ela realiza diversos projetos open source, administra mais de 250 capítulos locais (grupos representativos locais da OWASP) em diversos países, conferências educacionais e treinamentos em segurança.

Um dos recursos mais conhecidos é o OWASP Top 10, um documento de conscientização que lista os dez principais riscos de segurança em aplicações web. Essa lista é atualizada regularmente com base em análises de dados e feedback da comunidade. Hoje em dia, existem diversas listas “Top 10” produzidas pela organização, com diferentes focos, como API, Mobile, CI/CD, containers e entre outros.

Em resumo, a OWASP é uma grande comunidade internacional que se propõe a disseminar e conscientizar sobre AppSec em todas as organizações, sejam elas privadas, públicas ou do terceiro setor, oferecendo recursos gratuitos e abertos para profissionais técnicos responsáveis pelo desenvolvimento de software.

Historia da OWASP

Desde a sua fundação em 2001, a organização vem crescendo e se consolidando como uma referência global no desenvolvimento e melhoria da segurança de software. Alguns marcos importantes da história da organização:

  • Em 9 de setembro de 2001, a OWASP foi iniciada por Mark Curphey.
  • Em 2003. O OWASP Top 10 é publicado, seria o primeiro documento com foco nas principais categorias de risco para aplicações web. Em 2004, a Fundação OWASP foi estabelecida como uma organização sem fins lucrativos nos Estados Unidos, oferecendo suporte à infraestrutura e aos projetos da OWASP.
  • O primeiro capítulo OWASP no Brasil foi fundado em 2008 por Wagner Elias, CEO da Conviso. A comunidade brasileira tinha como objetivo disseminar o conhecimento sobre segurança de aplicações, promover eventos, palestras, cursos e workshops, e incentivar a participação da comunidade de desenvolvedores e profissionais de segurança da informação.
  • Em 2009 tem o lançamento do OWASP SAMM, um framework para ajudar as organizações a formular e implementar uma estratégia de segurança de software.
  • Em 2016, a lista do OWASP Mobile Top 10 é publicada, evidenciando uma ampliação do escopo da organização.
  • Em 2019, a OWASP publica a primeira versão de uma nova lista: o OWASP API Security Top 10. A lista se concentra nas principais vulnerabilidades de API e riscos de segurança.
  • Em 2023, a OWASP consolida seu amplo escopo de segurança de aplicações com a mudança de nome de Open Web Application Security Project para Open Worldwide Application Security Project.
  • Atualmente, o capítulo OWASP Brasil conta com várias delegações regionais, como São Paulo, Rio de Janeiro, Brasília, Porto Alegre, Belo Horizonte, entre outras. 


Como funciona a OWASP

O funcionamento da OWASP é baseado em uma comunidade global de especialistas em segurança web. Esses especialistas compartilham seu conhecimento e experiência em relação a vulnerabilidades, ameaças, ataques e contramedidas existentes.

 O objetivo principal é reunir informações relevantes e cruciais que permitam a avaliação dos riscos de segurança e a adoção de medidas eficientes para combatê-los. Dessa forma, a OWASP se baseia na colaboração e na expertise coletiva para fortalecer a segurança de aplicações web.

O projeto OWASP SAMM

O projeto OWASP SAMM (Software Assurance Maturity Model)  visa ajudar as organizações a analisar e melhorar sua postura de segurança de aplicações. É um framework que a organização pode usar para avaliar a si mesma e identificar áreas em que poderia melhorar. Uma característica importante do SAMM é sua independência de tecnologia e processo, permitindo que seja aplicado a diferentes ambientes e contextos.


Portanto, o principal objetivo do SAMM é estabelecer um modelo de maturidade em três níveis para cada prática de segurança, levando em consideração os riscos associados.  Essa abordagem permite que as organizações avaliem suas práticas de segurança de software existentes e identifiquem áreas de melhoria. 

Na Conviso, possuímos uma série de artigos sobre o OWASP SAMM que tem como objetivo detalhar cada uma das práticas servindo de referência para estudantes e profissionais que desejam se desenvolver em práticas de segurança de aplicações, confire a série.

Listas “Top 10” da OWASP 

A OWASP é muito famosa pelo OWASP Top 10 para aplicações web, mas existem várias outras listas além dessa. Aqui estão algumas das listas organizadas pela OWASP:

OWASP Web Application Top 10
Já citada anteriormente, essa lista é atualizada periodicamente para refletir as ameaças e vulnerabilidades mais relevantes no ambiente de desenvolvimento web.

OWASP API Security Top 10

Voltada para aplicações que fazem uso intensivo de APIs para o fluxo de dados ou que utilizam APIs como interface para os dados da aplicação. Ela aborda as principais vulnerabilidades relacionadas à segurança de APIs, como problemas de autenticação, autorização, exposição excessiva de dados e configuração inadequada.

OWASP Mobile Top 10

Essa lista, iniciada em 2015 e atualizada desde então, se concentra nas vulnerabilidades específicas de aplicativos móveis. Ela aborda preocupações relacionadas ao armazenamento inseguro de dados, comunicação insegura e outras vulnerabilidades específicas encontradas nesses softwares.

OWASP Kubernetes Top 10

Essa é uma lista recente da OWASP. Ela se concentra nas vulnerabilidades que podem afetar os servidores e as aplicações baseadas na infraestrutura do Kubernetes. 

OWASP Proactive Controls Top 10 

Esse documento se concentra na arquitetura e no design de segurança de aplicaçõesm oferecendo orientações sobre as melhores práticas para desenvolver aplicações seguras desde o início. Os controles proativos ajudam os desenvolvedores a aplicar técnicas de segurança em projetos de software, visando evitar vulnerabilidades comuns.

OWASP Large Language Model Applications (LLMs) Top 10 

O projeto fornece uma lista das 10 vulnerabilidades mais críticas frequentemente vistas em aplicações LLM, destacando seu impacto potencial, facilidade de exploração e prevalência em aplicações reais.

OWASP CI/CD Security Risks Top 10 

Este documento ajuda a identificar áreas de foco para a proteção do ecossistema de CI/CD. 

OWASP Docker Top 10

Oferece dez marcadores para planejar e implementar um ambiente de contêiner seguro baseado em docker.

OWASP Low-Code/No-Code Top 10

O guia fornece informações sobre quais são os riscos de segurança mais importantes para essas aplicações, os desafios envolvidos e como superá-los.

Aprenda a importância do OWASP Top 10 para a priorização dos riscos e a segurança no design

Demais projetos da OWASP

A OWASP é reconhecida por sua lista dos Top 10, mas ela vai além, oferecendo uma ampla gama de projetos. Existem, assim, diversos projetos que abrangem diferentes aspectos da segurança de aplicações nas organizações:

O Amass é uma ferramenta que permite a enumeração e análise detalhada do sistema de nomes de domínio, auxiliando na descoberta de ativos externos e na análise da superfície de ataque. 

O Application Security Verification Standard é uma estrutura para testar os controles de segurança de aplicações web e estabelecer requisitos para o desenvolvimento seguro.

A Cheat Sheet Series oferece um conjunto de guias de boas práticas de segurança para o desenvolvimento de software. 

O CSRFGuard é uma biblioteca que implementa padrões para minimizar o risco de ataques de falsificação de solicitação entre sites (CSRF). 

O CycloneDX é um padrão para análise de componentes e segurança na cadeia de suprimentos.

Outros projetos notáveis incluem o Defectdojo, uma ferramenta de gerenciamento de vulnerabilidades; o Dependency-Check, que verifica dependências em busca de vulnerabilidades; e o Dependency-Track, uma plataforma de análise de componentes que identifica riscos na cadeia de suprimentos de software.

A OWASP também oferece o Juice Shop, um exemplo de aplicação web com todas as vulnerabilidades listadas na lista Top 10, utilizado para testes de penetração e treinamento em segurança. Além disso, há o Mobile Security Testing Guide, um conjunto de padrões para testes de segurança em aplicações mobile, e o ModSecurity Core Rule Set, um conjunto de regras de detecção de ataques para firewalls de aplicações web.

Outros projetos relevantes incluem o Offensive Web Testing Framework, um framework para pentest; o Security Knowledge Framework, que aborda princípios de codificação segura em várias linguagens de programação; o Security Shepherd, uma plataforma de treinamento em segurança para aplicações web e móveis; o Web Security Testing Guide, um guia abrangente para testes de segurança; e o Zed Attack Proxy, um scanner de aplicações web usado para pentest e treinamento.

Esses são apenas alguns exemplos dos mais de 250 projetos da OWASP. Com essa ampla variedade de recursos e ferramentas, a OWASP se mostra como a principal referência e suporte para a comunidade de desenvolvedores e profissionais de segurança.

Como contribuir com a OWASP

Existem várias formas de contribuir com a OWASP e apoiar seus esforços em melhorar a segurança de aplicações no mundo. Aqui estão algumas maneiras de contribuir:

Doações: Você pode fazer uma doação por meio do site oficial. Sua contribuição financeira ajudará a financiar as atividades da organização em todo o mundo.  

Contribuição de conteúdo: A OWASP aceita contribuições da comunidade para a criação e edição de ferramentas, guias, padrões e outros conteúdos comunitários. Você pode contribuir por meio do repositório do site da OWASP no GitHub.

Participação em eventos: Você pode participar ou até mesmo organizar eventos, palestras, cursos e workshops sobre segurança de aplicações web em sua região ou online. Você pode se juntar a um dos capítulos da OWASP existentes ou, caso não haja um em sua área, considerar a criação de um novo. 

Ao contribuir com a OWASP, você estará se juntando a uma comunidade global dedicada a promover a segurança de aplicações!

OWASP é referência para as soluções da Conviso

A Conviso, como uma referência em AppSec, tem a OWASP como uma de suas principais fontes de referência. Desde 2008, quando o CEO da Conviso, Wagner Elias, fundou o Capítulo OWASP no Brasil, a empresa tem utilizado os recursos e diretrizes fornecidos pela OWASP para impulsionar suas soluções e serviços na área.

Além disso, a Conviso Platform se destaca por sua abordagem centrada na experiência do desenvolvedor (dev-first), contribuindo para a transformação cultural em direção ao DevSecOps, simplificando a implementação de processos de segurança para toda a organização.

A Conviso oferece também uma ampla gama de treinamentos em AppSec, que contribui com uma transformação cultural nas equipes de desenvolvimento. Essas capacitações possuem a OWASP como uma de suas principais referências.

Conteúdos relacionados:

Como aplicar o OWASP TOP 10?

Segurança de containers: como a OWASP pode ajudar desenvolvedores

OWASP Top 10 2021

Implementando um programa de segurança de aplicações baseado no OWASP SAMM