48 lines
2.0 KiB
Markdown
48 lines
2.0 KiB
Markdown
---
|
||
title: "OWASP"
|
||
type: entity
|
||
tags: [security, web-security, standards, devsecops]
|
||
sources: ["what-is-devsecops-best-practices-benefits-and-tools"]
|
||
last_updated: 2025-12-19
|
||
---
|
||
|
||
## Overview
|
||
|
||
OWASP(Open Web Application Security Project,开放式 Web 应用安全项目)是一个开源的社区驱动的非营利组织,专注于提高软件安全性。OWASP 是全球应用安全领域最具影响力的社区之一,其工具、标准和技术文档被广泛应用于 [[DevSecOps]] 实践中。
|
||
|
||
## Key Deliverables
|
||
|
||
### OWASP Top Ten
|
||
最知名的 OWASP 项目,列出 Web 应用最关键的 10 大安全风险,是 [[DevSecOps]] 安全测试的核心参考标准:
|
||
1. Broken Access Control(访问控制失效)
|
||
2. Cryptographic Failures(加密失败)
|
||
3. Injection(注入攻击)
|
||
4. Insecure Design(不安全设计)
|
||
5. Security Misconfiguration(安全配置错误)
|
||
6. Vulnerable and Outdated Components(易受攻击和过时的组件)
|
||
7. Identification and Authentication Failures(识别和身份验证失败)
|
||
8. Software and Data Integrity Failures(软件和数据完整性失败)
|
||
9. Security Logging and Monitoring Failures(安全日志和监控失败)
|
||
10. Server-Side Request Forgery(服务器端请求伪造)
|
||
|
||
### Other Key Projects
|
||
- **OWASP ZAP**:开源 Web 应用安全扫描器([[DAST]] 工具)
|
||
- **OWASP ASVS**:应用安全验证标准
|
||
- **OWASP SAMM**:软件保证成熟度模型
|
||
- **OWASP Dependency-Check**:SCA 工具([[SCA]])
|
||
|
||
## Role in DevSecOps
|
||
|
||
在 [[DevSecOps]] 中,OWASP 提供:
|
||
- [[DAST]] 测试的漏洞分类标准
|
||
- [[SAST]] 工具的规则开发参考
|
||
- 安全编码标准和最佳实践
|
||
- 开源安全测试工具
|
||
|
||
## Related Concepts
|
||
|
||
- [[DevSecOps]] — OWASP 是 DevSecOps 工具链的核心参考
|
||
- [[DAST]] — OWASP ZAP 是主流 DAST 工具
|
||
- [[SAST]] — OWASP 提供安全编码标准
|
||
- [[OWASP Top Ten]] — Web 应用安全风险的权威列表
|