El Proyecto abierto de seguridad de aplicaciones web (OWASP) es famoso por su proyecto Top 10; sin embargo, apoya y promueve otros importantes proyectos que podrían ayudar a la postura de ciberseguridad de tu organización.
Hay docenas de proyectos abiertos apoyados de alguna manera por OWASP, y no todos ellos son estrictamente específicos de aplicaciones web. He recopilado esta lista de cinco proyectos (no Top 10) que deberías conocer.
Estándar de verificación de seguridad de aplicaciones
El Estándar de Verificación de Seguridad de Aplicaciones (ASVS) es un estándar abierto para asegurar que tus aplicaciones están construidas de forma segura desde la perspectiva de las mejores prácticas. Aunque hay cientos de controles, el ASVS se divide en tres niveles en función del tipo de datos que procesa la aplicación.
Lo que más me gusta del ASVS es que es lo más prescriptivo posible, a diferencia de otras directrices que a veces pueden parecer demasiado vagas.
Marco de conocimientos de seguridad (SKF)
Proporcionar formación sobre código seguro a los desarrolladores puede ser caro en términos de tiempo y costes de licencia. OWASP mantiene el Marco de Conocimiento de Seguridad, que proporciona una plataforma para integrar los requisitos de ASVS y MASVS en la planificación de sprints, a la vez que proporciona toneladas de laboratorios para que los desarrolladores practiquen los principios de la codificación segura.
Cheat Sheet Series
Las Cheat Sheet Series de OWASP es una mina de oro de información si quieres una guía táctica sólida sobre la seguridad de las aplicaciones. Cubre todo, desde el Security Assertion Markup Language (SAML) y el modelado de amenazas hasta el cifrado y los contenedores.
Nightingale
¿Trabajas en pruebas de penetración? ¿Piensas que sería interesante tener una imagen de contenedor preconfeccionada con todo lo que necesitas, incluido Metasploit? Entonces echa un vistazo a Nightingale, que hace eso por ti.
CycloneDX
La lista de materiales de software (SBOM) está de moda estos días. CycloneDX es el principal estándar SBOM diseñado principalmente para las necesidades de seguridad. Preveo que la mayoría de las herramientas de tipo Análisis de Composición de Software se estandarizarán en esto para las características de exportación de SBOM.