The OWASP Foundationhttp://www owasp orghttp://www.owasp.org

OWASP 全球报告OWASP 全球报告

Seba Deleersnyderb @seba@owasp.org

OWASP 基金会董事

OWASPOWASPOWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究应用软件的安全研究

我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风险作出更清晰的决策

所有人都可以免费参与OWASP。我们全部资料都在免费和开源的软件许可证下提供使用免费和开源的软件许可证下提供使用

庆祝十年庆祝十年

3

我们的成功我们的成功• OWASP 工具和文档: • OWASP AppSec 会议:

• ~15,000 每月下载

• ~30,000 每月单独访问次数

• 芝加哥,纽约,伦敦,华盛顿,巴西中国,德国,更多

30,000 每月单独访问次数

• ~2百万每月网站点击数

• OWASP 分部在全世界开

• 分布式内容

• 100多位工具,项目和支部领导• OWASP 分部在全世界开花结果

• 1 500多成员遍布世界各地

• 大量政府机构,标准制定机构和企业单位使用,推荐和引用OWASP 组织和资料1,500多成员遍布世界各地

• 20,000+ 参与者

OWASP 组织和资料

4

约140 项目约140 项目• 保护 - 用于防止与安全有关的设计与实

施的缺陷施的缺陷

• 检测 - 用于检测与安全有关的设计与实检测 用于检测与安全有关的设计与实施的缺陷

• 生命周期 – 可加入软件开发生命周期的与安全有关的步骤与安全有关的步骤

The OWASP Foundationhttp://www owasp orghttp://www.owasp.org

过去六个月的新项目过去六个月的新项目• Common Numbering Project • German Language Projectg j• HTTP Post Tool• Forward Exploit Tool Project• Java XML Templates Project• ASIDE Project

• Mantra – Security Framework• Java HTML Sanitizer• Java Encoder Project• WebScarab NG Project• ASIDE Project

• Secure Password Project• Secure the Flag Competition Project• Security Baseline Project

• WebScarab NG Project• Threat Modelling Project• Application Security Assessment Standards

Projecty j• ESAPI Objective – C Project• Academy Portal Project• Exams Project• Portuguese Language Project

• Hackademic Challenges Project• Hatkit Proxy Project• Hatkit Datafiddler Project• ESAPI Swingset Interactive Project• Portuguese Language Project

• Browser Security ACID Tests Project• Web Browser Testing System Project• Java Project

ESAPI Swingset Interactive Project• ESAPI Swingset Demo Project• Web Application Security Accessibility Project• Cloud ‐ 10 Project

• Myth Breakers Project• LAPSE Project• Software Security Assurance Process• Enhancing Security Options Framework

• Web Testing Environment Project• iGoat Project• Opa• Mobile Security Project – Mobile Threat ModelEnhancing Security Options Framework Mobile Security Project Mobile Threat Model• Codes of Conduct

220 个支部220 个支部

7

会议会议

8

“从葡萄牙之春季会议 我看到了OWASP鲜从葡萄牙之春季会议,我看到了OWASP鲜花盛开。作为局外观察者, 我看到OWASP 已经从只为少数专家所知发展成被广泛使

从 域发 到全球 从穿透测试发用, 从区域发展到全球，从穿透测试发展到软件开发生命周期，从伺服器发展到软件使用的所有部件 从纯技术发展到商业件使用的所有部件，从纯技术发展到商业

流程 应用 – Colin Watson

大规模联 外大规模联系外界• OWASP-葡萄牙合作关系

• OWASP 教育机构接触

• OWASP 联系企业

• OWASP 浏览器安全项目• OWASP 浏览器安全项目

• OWASP-Apache 伙伴关系

• OWASP 移动安全新项目

• OWASP 管理方式扩大OWASP 管理方式扩大

• 注重国际

• 应用安全计划

• 应用安全认证

基金会选举基金会选举• OWASP 管理原则成熟化 – OWASP更新章程 (bylaws)

和规定基金会选举步骤 这些管理原则的更新将有利于和规定基金会选举步骤. 这些管理原则的更新将有利于OWASP社团的运作和发展.

• 目前五个基金会成员

由选举产生.

全球 会全球委员会

OWASP 会员OWASP 会员

应用安全才刚刚开始应用安全才刚刚开始

• 你无法改进你不能测量的东西

• 我们必须…

• 实验

• 分享成功• 分享成功

• 整合我们的努力整合我们的努力

• 期待下一个十年!

16

呼吁行动呼吁行动• 创办或参加你的OWASP支部

• 翻译资料 (文档,工具界面)

成为 成• 成为OWASP成员

• 积极参与OWASP组织(委员会 基金会选举• 积极参与OWASP组织(委员会, 基金会选举2013)

• 一起行动,我们将实现我们的使命!

17

The OWASP Foundationhttp://www owasp orghttp://www.owasp.org

谢谢谢谢.祝您会议满载而归!祝您会议满载而归!