La Open Web Application Security Project (Owasp) è una fondazione senza scopo di lucro che lavora per migliorare la sicurezza del software.
Le sue iniziative si sviluppano attraverso progetti open source guidati dalla community, centinaia di chapter locali in tutto il mondo, decine di migliaia di membri e conferenze formative.
Owasp è diventata una delle fonti primarie per gli sviluppatori e altri professionisti che lavorano con la tecnologia, su quel che riguarda la sicurezza del web.
Proprio quest’anno cade il 20° anniversario della Fondazione OWASP: è stato celebrato con un evento online che ha ospitato keynote e sessioni sul tema della cybersecurity.
La fondazione ha anche aggiornato la sua nota Owasp Top 10. Si tratta di un documento di consapevolezza per gli sviluppatori e i team di cybersecurity che elenca quelli che, con un ampio consenso, sono considerati i rischi di sicurezza più critici per le applicazioni web.
Secondo Owasp, le imprese dovrebbero adottare questo documento come inizio del processo con cui si assicurano che le loro applicazioni web riducano al minimo questi rischi.
Usare la Owasp Top 10 – mette in evidenza la fondazione – è forse il primo passo più efficace per cambiare la cultura dello sviluppo del software all’interno della propria organizzazione, con un approccio che aiuti a produrre codice più sicuro.
La OWASP Top 10 – 2021 vede l’arrivo di alcune novità nella lista. Ci sono tre nuove categorie, quattro categorie che presentano cambiamenti nella denominazione e di scoping, e alcuni consolidamenti.
La prima tra le nuove categorie per la lista del 2021 è Insecure Design, che porta il focus sui rischi legati ai difetti di progettazione.
Secondo Owasp per il settore è richiesto un maggiore uso del threat modeling, di principi e design pattern sicuri e di architetture di riferimento.
La seconda è Software and Data Integrity Failures, una categoria più ampia di cui ora fa parte Insecure Deserialization dalla lista del 2017. La nuova categoria è incentrata sul fare ipotesi relative agli aggiornamenti del software, ai dati critici e alle pipeline CI/CD senza verificarne l’integrità.
Nuova è anche Server-Side Request Forgery. Nelle moderne applicazioni web, il recupero di una URL diventa uno scenario comune. Di conseguenza, l’incidenza di SSRF sta aumentando. Inoltre, sottolinea ancora Owasp, la gravità della SSRF sta diventando più alta a causa dei servizi cloud e della complessità delle architetture.
La lista Owasp Top 10 – 2021 e tutti i dettagli sui rischi critici per la sicurezza sono consultabili sul sito della fondazione.
