¿Organizaciones de estándares de Appsec?

3

Soy un desarrollador de Java EE y me preguntaba si alguien ha tenido experiencia con el Proyecto OWASP y podría evaluar cómo se mide como organización de estándares de seguridad. Tienen un gran sitio web con multitud de documentos, subproyectos, marcos / API, etc., y solo quiero asegurarme de que sean bien considerados antes de comenzar a avanzar en el camino de aprender sobre esto desde cero. . No me gustaría pasar las próximas semanas invirtiendo tiempo y amp; energía en este grupo solo para descubrir que no son creíbles por cualquier razón.

¿Hay otros organismos del proyecto que también sean de código abierto que debería considerar también?

    
pregunta zharvey 21.09.2011 - 19:57
fuente

2 respuestas

4

La propia OWASP tiene una gran cantidad de proyectos, algunos con mayor madurez que otros. Como organización, OWASP tiene iniciativas clave que han sido aceptadas globalmente, por lo que no estaría solo en la elección de obtener más información.

Mi mercado principal incluye bancos globales y otras organizaciones de servicios financieros, así como algunas otras industrias como el petróleo y el gas, y además de estándares como PCI-DSS, ISO 27001, el estándar único de facto en su web. equipos de seguridad es el Top Ten de OWASP.

ESAPI también se usa ampliamente en el espacio de seguridad de TI, junto con algunos otros.

    
respondido por el Rory Alsop 21.09.2011 - 21:35
fuente
1

Los "estándares" oficiales son en gran parte independientes de los errores reales, y en su lugar se centran en el "proceso" para tratar los errores. Por ejemplo, generalmente no mencionan algo específico como "inyección SQL".

OWASP es lo contrario. Se trata de los 10 problemas más comunes del Top 10, pero es ligero en los procesos que puede usar para solucionarlos.

Ciertamente, hay una superposición considerable, pero esa es la idea general.

    
respondido por el Robert David Graham 22.09.2011 - 01:40
fuente

Lea otras preguntas en las etiquetas