---
title: "OWASP"
type: entity
tags: [security, web-security, standards, devsecops]
sources: ["what-is-devsecops-best-practices-benefits-and-tools"]
last_updated: 2025-12-19
---

## Overview

OWASP（Open Web Application Security Project，开放式 Web 应用安全项目）是一个开源的社区驱动的非营利组织，专注于提高软件安全性。OWASP 是全球应用安全领域最具影响力的社区之一，其工具、标准和技术文档被广泛应用于 [[DevSecOps]] 实践中。

## Key Deliverables

### OWASP Top Ten
最知名的 OWASP 项目，列出 Web 应用最关键的 10 大安全风险，是 [[DevSecOps]] 安全测试的核心参考标准：
1. Broken Access Control（访问控制失效）
2. Cryptographic Failures（加密失败）
3. Injection（注入攻击）
4. Insecure Design（不安全设计）
5. Security Misconfiguration（安全配置错误）
6. Vulnerable and Outdated Components（易受攻击和过时的组件）
7. Identification and Authentication Failures（识别和身份验证失败）
8. Software and Data Integrity Failures（软件和数据完整性失败）
9. Security Logging and Monitoring Failures（安全日志和监控失败）
10. Server-Side Request Forgery（服务器端请求伪造）

### Other Key Projects
- **OWASP ZAP**：开源 Web 应用安全扫描器（[[DAST]] 工具）
- **OWASP ASVS**：应用安全验证标准
- **OWASP SAMM**：软件保证成熟度模型
- **OWASP Dependency-Check**：SCA 工具（[[SCA]]）

## Role in DevSecOps

在 [[DevSecOps]] 中，OWASP 提供：
- [[DAST]] 测试的漏洞分类标准
- [[SAST]] 工具的规则开发参考
- 安全编码标准和最佳实践
- 开源安全测试工具

## Related Concepts

- [[DevSecOps]] — OWASP 是 DevSecOps 工具链的核心参考
- [[DAST]] — OWASP ZAP 是主流 DAST 工具
- [[SAST]] — OWASP 提供安全编码标准
- [[OWASP Top Ten]] — Web 应用安全风险的权威列表