OWASP Top Ten 2017 (de)

Nächste Schritte für Software-Entwickler

Languages: en [de] es
Umfassende Sicherheitsmaßnahmen etablieren und nutzen
Egal ob man ein Neuling im Bereich der Webanwendungssicherheit ist oder schon mit den erläuterten Gefahren vertraut ist – die Entwicklung einer neuen sicheren Webanwendung oder das Absichern einer bereits existierenden kann sehr schwierig sein. Für die Betreuung eines großen Anwendungsportfolios kann das sehr abschreckend sein.
Um Organisationen und Entwicklern dabei zu helfen Ihre Anwendungssicherheitsrisiken kostengünstig zu reduzieren, stellt OWASP zahlreiche kostenlose und frei zugängliche Ressourcen zur Verbesserung der Anwendungssicherheit zur Verfügung. Im Folgenden werden einige dieser OWASP-Ressourcen, die Organisationen helfen können sichere Webanwendungen oder APIs zu erstellen, vorgestellt. Auf der nächsten Seite stellen wir einige OWASP-Ressourcen vor, die Organisationen dabei helfen können Ihre Anwendungssicherheit zu überprüfen.

Anwendungs-
sicherheits-
anforderungen:

Um eine sichere Web Anwendung zu erstellen ist es wichtig vorher zu definieren was “sicher” im Falle einer speziellen Anwendung bedeutet. OWASP empfiehlt dazu den OWASP Application Security Verification Standard (ASVS) als Leitfaden zur Erstellung von Sicherheitsanforderungen. Bei Outsourcing der Anwendungsentwicklung empfiehlt sich der OWASP Secure Software Contract Annex (deutsch im alten Wiki).
Hinweis: Das Dokument ist ausschließlich als Orientierungshilfe anzusehen, es bezieht sich auf US-Recht. Konsultieren Sie in jedem Fall einen spezialisierten Anwalt, bevor Sie es benutzen.

Anwendungs-
sicherheits-
architektur:

Anstatt Sicherheit nachträglich in eine Anwendung oder API einzubauen, ist es kosteneffektiver, diese schon beim Design zu beachten. OWASP empfiehlt hierzu die OWASP Prevention Cheat Sheets als einen guten Startpunkt, um die Anwendung von Anfang an sicher zu konstruieren.

Standardisierte
Sicherheits-
maßnahmen:

Die Entwicklung starker und anwendbarer Sicherheitsmaßnahmen ist nicht trivial. Standardisierte Sicherheitsmaßnahmen vereinfachen die Entwicklung sicherer Anwendungen oder APIs. OWASP Proactive Controls ist ein guter Startpunkt für Entwickler. Viele moderne Frameworks enthalten heute schon standardmäßig effektive Sicherheitsprüfungen für Autorisierung, Validierung, CSRF-Schutz etc.

Sicherer
Entwicklungs-
zyklus:

Um den Prozess zur sicheren Anwendungserstellung in einer Organisation zu verbessern, empfiehlt OWASP das OWASP Software Assurance Maturity Model (SAMM). Das Modell hilft bei der Formulierung und Umsetzung einer Software Sicherheitsstrategie, die die spezifischen Risiken Ihrer eigenen Organisation berücksichtigt.

Trainings für
Anwendungs-
sicherheit:

Das OWASP Education Project (altes Wiki) bietet Trainingsunterlagen zur Schulung von Entwicklern im Bereich der Webanwendungssicherheit. Um praxisbezogene Erfahrungen über Schwachstellen zu sammeln empfiehlt die OWASP OWASP WebGoat, WebGoat.NET (altes Wiki), OWASP NodeJS Goat, OWASP Juice Shop Project oder das OWASP Broken Web Applications Project (altes Wiki). Um aktuell zu bleiben besuchen Sie die OWASP AppSec Conference, OWASP Conference Training, ein OWASP Training oder eines der lokalen OWASP Chapter Meetings und Stammtische.
Es stehen zahlreiche weitere OWASP Ressourcen zur Verfügung. Besuchen Sie die OWASP Projekt-Übersicht, die eine Liste aller Flagship-, Lab- und Incubator-Projekte des OWASP Projektinventars bereitstellt. Viele OWASP Ressourcen sind auf unserer Webseite verfügbar und können auch in Papierformat oder als eBook bestellt werden.