← Atpakaļ uz Izglītošanos
REFERENCE · STANDARDS
OWASP - drošības vadlīnijas
Atsauces uz 10 populārākajām Open Worldwide Application Security Project publikācijām un resursiem.
OWASP Open Worldwide Application Security Project
OWASP ir starptautiska bezpeļņas organizācija, kas izstrādā atvērtos standartus, vadlīnijas un rīkus drošas programmatūras izstrādei. OWASP publikācijas - Top 10 risku saraksti, Application Security Verification Standard (ASVS), Software Assurance Maturity Model (SAMM) un Web Security Testing Guide (WSTG) - tiek atzītas par nozares atsauces materiālu drošas izstrādes dzīves cikla iestrādei atbilstoši NIS2 direktīvas 21. panta 2. punkta e) apakšpunkta prasībām.
| Kods | Nosaukums | Temats / pielietojums | Gads | Avots |
|---|---|---|---|---|
| Top 10:2021 | OWASP Top 10 - Web Application Security Risks | Vispārpieņemts desmit izplatītāko tīmekļa lietojumu drošības risku saraksts (Broken Access Control, Cryptographic Failures, Injection); atskaites materiāls NIS2 21. panta 2. punkta e) apakšpunkta izstrādes drošības prasību izpildei. | 2021 | Atvērt |
| API Top 10:2023 | OWASP API Security Top 10 | API-specifisko drošības risku saraksts - Broken Object Level Authorization (BOLA), nepilnvarota autentifikācija, pārmērīga datu izpaušana, pieprasījumu apjoma ierobežojumu trūkums; atbalsta mikropakalpojumu arhitektūras drošības novērtēšanu. | 2023 | Atvērt |
| Mobile Top 10:2024 | OWASP Mobile Application Security Top 10 | Mobilo lietojumprogrammu drošības risku saraksts - nepareiza autentifikācijas datu lietošana, nedroša komunikācija, nepietiekama kriptogrāfijas izvēle; tieši attiecināms uz NIS2 21. panta 2. punkta h) apakšpunktu. | 2024 | Atvērt |
| ASVS v4.0.3 | Application Security Verification Standard | Detalizēta drošības pārbaudes prasību bāze tīmekļa lietojumprogrammām - 286 prasības trijos verifikācijas līmeņos (L1–L3); izmantojama kā standartmērs NIS2 21. panta 2. punkta f) apakšpunkta atbilstības novērtēšanā. | 2024 | Atvērt |
| Cheat Sheet Series | OWASP Cheat Sheet Series | Vairāk nekā simts implementācijas vadlīniju kopa izstrādes komandām - autentifikācija, sesiju pārvaldība, XSS un SQL injekciju novēršana; tehniska atsauce drošas izstrādes prasību iestrādei. | Aktualizēts | Atvērt |
| SAMM v2 | Software Assurance Maturity Model | Drošas programmatūras izstrādes brieduma novērtēšanas modelis piecās jomās - Governance, Design, Implementation, Verification, Operations; atbalsta NIS2 21. panta 2. punkta e) apakšpunkta sistemātisku ieviešanu. | 2024 | Atvērt |
| WSTG v4.2 | Web Security Testing Guide | Manuālās penetrācijas testēšanas metodoloģija ar vairāk nekā simts pārbaudes tehnikām un piemēriem; izmantojama NIS2 21. panta 2. punkta f) apakšpunkta atbilstības novērtēšanas darbībās. | 2024 | Atvērt |
| ZAP | Zed Attack Proxy | Atvērtā pirmkoda dinamiskā lietojumprogrammu drošības testēšanas (DAST) skenētājs - automatizēta un manuāla tīmekļa lietojumprogrammu drošības pārbaude atbilstoši izstrādes dzīves cikla validācijas posmam. | Aktualizēts | Atvērt |
| Dependency-Check | OWASP Dependency-Check | Programmatūras komponentu analīzes (SCA) rīks zināmu ievainojamību meklēšanai Java, Python un Node.js bibliotēkās ar CVE sasaisti; atbalsta piegādes ķēdes risku pārvaldību (NIS2 21. panta 2. punkta d) apakšpunkts). | Aktualizēts | Atvērt |
| Threat Dragon | OWASP Threat Dragon | Atvērtā pirmkoda draudu modelēšanas rīks ar STRIDE metodoloģijas atbalstu un eksportējamiem ziņojumiem; izmantojams projektēšanas posmā risku identifikācijai un dokumentēšanai. | Aktualizēts | Atvērt |