OWASP Top Ten 2017 (es)

Introducción

Languages: ende [es]
¡Bienvenido al OWASP Top 10 - 2017!
Esta importante actualización agrega varios puntos nuevos, incluyendo dos seleccionados por la comunidad - A8:2017-Insecure Deserialization y A10:2017-Insufficient Logging & Monitoring. Dos diferenciadores clave sobre las versiones anteriores del OWASP Top 10 son las notables devoluciones de la comunidad y la gran cantidad de datos recopilados de docenas de organizaciones, siendo posiblemente la mayor cantidad de datos jamás reunidos en la preparación de un estándar de seguridad de aplicaciones. Esto nos da la confianza de que el nuevo OWASP Top 10 aborda los riesgos de seguridad de aplicaciones más impactantes que enfrentan las organizaciones en la actualidad.
El OWASP Top 10 - 2017 se basa principalmente en el envío de datos de más de 40 empresas que se especializan en seguridad de aplicaciones y una encuesta de la industria que fue completada por más de 500 personas. Esta información abarca vulnerabilidades recopiladas de cientos de organizaciones y más de 100.000 aplicaciones y APIs del mundo real. Las 10 principales categorías fueron seleccionadas y priorizadas de acuerdo con estos datos de prevalencia, en combinación con estimaciones consensuadas de explotabilidad, detectabilidad e impacto.
Uno de los principales objetivos del OWASP Top 10 es educar a los desarrolladores, diseñadores, arquitectos, gerentes y organizaciones sobre las consecuencias de las debilidades más comunes y más importantes de la seguridad de las aplicaciones web. El Top 10 proporciona técnicas básicas para protegerse contra estas áreas con problemas de riesgo alto, y proporciona orientación sobre cómo continuar desde allí.
Hoja de ruta para las futuras actividades
No se detenga en el Top 10. Hay cientos de fallas que podrían afectar la seguridad general de una aplicación web, como se describe en la Guía de Desarrolladores de OWASP y en las hojas de trucos de OWASP. Estas son lecturas esenciales para cualquier persona que desarrolle aplicaciones web y APIs. En la Guía de Testing de OWASP encontrará orientación sobre cómo reconocer vulnerabilidades de forma efectiva en aplicaciones web.
Cambio constante. El OWASP Top 10 continuará cambiando. Aún sin cambiar una simple línea en el código fuente de su aplicación, podría volverse vulnerable a medida que se encuentren nuevas fallas y métodos de ataques. Para obtener más información, revise los consejos al final del Top 10 en Próximos pasos para Desarrolladores, Desarrolladores, Testers de seguridad, Organizaciones y Administradores de aplicaciones.
Piense positivo. Cuando esté listo para dejar de perseguir vulnerabilidades y centrarse en establecer controles sólidos de seguridad de aplicaciones, el proyecto Controles Proactivos de OWASP proporciona un punto de partida para ayudar a los desarrolladores a incorporar la seguridad en sus aplicaciones y el Estándar de Verificación de Seguridad en Aplicaciones de OWASP (ASVS) es una guía para las organizaciones y testers de aplicaciones sobre qué verificar.
Utilice las herramientas sabiamente. Las vulnerabilidades pueden ser bastante complejas y estar profundamente ocultas en el código. En muchos casos, el enfoque más eficaz en función de los costos, para encontrar y eliminar esas debilidades es recurrir a expertos dotados de herramientas avanzadas. Confiar sólo en las herramientas proporciona una falsa sensación de seguridad y no es recomendable.
Empuje a la izquierda, derecha y hacia todas partes. Enfóquese en hacer de la seguridad una parte integral de la cultura en desarrollo en su organización. Obtenga más información en Modelo de Madurez de Aseguramiento del Software de OWASP (SAMM).
Atribución
Quisiéramos agradecer a las organizaciones que contribuyeron con sus datos de vulnerabilidades para respaldar la actualización de 2017. Recibimos más de 40 respuestas a nuestra solicitud de información. Por primera vez, todos los datos que contribuyeron a esta publicación del Top 10, así como la lista completa de colaboradores, están a disposición del público. Creemos que esta es una de las colecciones de datos sobre vulnerabilidades más grandes y diversas que se hayan recopilado de forma pública.
Como hay más colaboradores que espacio, hemos creado una página dedicada a reconocer estas contribuciones. Deseamos agradecer sinceramente a estas organizaciones por estar dispuestas a compartir públicamente sus datos sobre vulnerabilidades. Esperamos que esto continúe creciendo y aliente a más organizaciones a hacer lo mismo. Posiblemente esta publicación sea vista como uno de los hitos clave de la seguridad basada en evidencia. El OWASP Top 10 no sería posible sin estas increíbles contribuciones.
Un especial agradecimiento a las más de 500 personas que se tomaron el tiempo para completar la encuesta dirigida a la industria. Su opinión ayudó a determinar dos nuevas incorporaciones al Top 10. Los comentarios adicionales, notas de aliento y críticas fueron muy valiosos.
También nos gustaría agradecer a aquellas personas que contribuyeron con comentarios constructivos y tiempo para revisar la presente actualización del Top 10. En la medida de lo posible, los hemos incluido en la página de Agradecimientos.
Y finalmente, agradecemos a todos los traductores por ayudar a hacer el OWASP Top 10 más accesible para todos.