Ketika datang ke pertahanan maya kami selalu memikirkan peretas jahat dan mereka yang, di sisi lain pagar, melawan mereka. Namun semuanya dimulai jauh lebih awal.
Secara khusus, untuk aspek perangkat lunak semuanya dimulai ketika suatu program dirancang dan diimplementasikan.
Desain yang buruk, kurangnya pengetahuan di bidang pemrograman perangkat lunak yang aman, inefisiensi dalam pengujian dan kontrol kualitas adalah awal dari masalah yang kita hadapi setiap hari di dunia maya. Namun ada standar untuk menghasilkan aplikasi yang aman: Buka Proyek Keamanan Aplikasi Web, singkatnya OWASP, adalah standar untuk produksi aplikasi web yang aman dan jika kita menganggap bahwa hampir semua aplikasi sekarang ...
OWASP juga merupakan organisasi global yang bertujuan untuk meningkatkan keamanan perangkat lunak. Dokumentasi yang diproduksi oleh organisasi dirilis di bawah lisensi Creative Commons Atribusi-BerbagiSerupa.
Yayasan OWASP telah online sejak 1 Desember 2001 dan diakui sebagai sebuah organisasi nirlaba Amerika mulai dari 21 April 2004. Yayasan dan kolaborator mematuhi aturan mendasar untuk tidak bergabung dengan industri teknologi apa pun untuk menjaga netralitas dan kredibilitas mereka.
OWASP secara alami memiliki seorang pendiri: Mark Curphey, yang besar di Inggris. Pada tahun 2000 Curpey, setelah mendapatkan gelar master di Keamanan Informasi, spesialisasi dalam kriptografi, ia meninggalkan Inggris ke Amerika Serikat dan mulai bekerja untuk Sistem Keamanan Internet, yang kemudian diakuisisi oleh IBM. Di tahun-tahun itulah dia menciptakan OWASP.
Setelah beberapa pengalaman di bidang keamanan, di 2014, ia mendirikan SumberHapus berbasis di San Francisco dan terus berkolaborasi dalam penyebaran OWASP.
Tetapi mengapa OWASP begitu penting?
Owasp penting karena sekarang menjadi standar dunia untuk pengembangan perangkat lunak yang aman tetapi tidak hanya itu, penting karena ada ribuan pakar keamanan komputer yang berkolaborasi setiap hari pada proyek-proyek OWASP, ini penting karena merupakan kumpulan praktik terbaik yang dibuat tersedia secara gratis, ini penting karena di antara banyak proyek ada juga Akademi OWASP yang bertujuan untuk menyebarkan pengetahuan tentang pengembangan perangkat lunak yang aman.
OWASP adalah standar de facto, diadopsi oleh pengembang individu tetapi juga oleh produsen perangkat lunak besar. Bahkan, sebagai standar, tak perlu dikatakan bahwa adopsi oleh suatu organisasi menjadi bagian integral dari struktur pertahanan maya organisasi itu sendiri, ini karena pertahanan maya bukan hanya apa yang kita lihat di film-film, yang dapat kita sebut "taktik" tetapi juga yang tidak terlihat tetapi yang merupakan bagian dari konteks, dari "strategi".
Organisasi yang memproduksi perangkat lunak, serta organisasi yang proses bisnisnya sangat bergantung pada perangkat lunak yang digunakan (diproduksi atau tidak olehnya) juga harus memperhatikan aspek kebijaksanaan seperti adopsi OWASP di dalamnya.
Adopsi OWASP atau standar keamanan lain karenanya merupakan bagian integral dari pertahanan maya korporasi dan oleh karena itu membutuhkan perhatian dari manajemen. Padahal, sama sekali percuma melakukan investasi di sektor keamanan tanpa dipikirkan juga kebijaksanaan sektor.
Untuk membuat perbandingan yang bodoh tapi bisa dimengerti, itu seperti ingin menyaring air dengan saringan, jika Anda perlu menghilangkan partikel-partikel dengan ukuran tertentu dari air dan saringan saya tidak efektif, saya juga dapat membeli saringan yang lebih besar tetapi jika dalam pembelian saya tidak keberatan dengan ukuran lubang saya mungkin hanya akan menghabiskan lebih banyak uang pada saringan yang lebih besar, tanpa memiliki peningkatan kinerja!
Di sini, jika ketika Anda memproduksi perangkat lunak (atau membelinya) Anda tidak memperhatikan standar keselamatan yang digunakan dalam tahap produksi dan pengujian, Anda harus menyiapkan serangkaian pemeriksaan keamanan yang berurutan yang akan memungkinkan Anda untuk menghadapi risiko yang ada dengan menghabiskan banyak lebih daripada yang akan saya habiskan jika saya melihat aspek keamanan perangkat lunak dari awal.
Tentu saja, penerapan standar produksi perangkat lunak yang aman tidak menjamin bahwa tidak akan ada masalah tetapi setidaknya jaminan dari masalah yang sudah diketahui.
Salah satu produk terpenting OWASP adalah Sepuluh Teratas, daftar risiko 10 pertama terkait aplikasi web. Dalam versi awalnya ini adalah poin yang diusulkan, hingga saat ini masih dalam pengamatan:
Injeksi A1
Autentikasi dan Sesi Manajemen Patah A2
Skrip Lintas Situs A3 (XSS)
Kontrol Akses Rusak A4
Konfigurasi Kesalahan A5
Paparan Data Sensitif A6
A7 Perlindungan Serangan Tidak Cukup
Pemalsuan Permintaan Lintas Situs A8 (CSRF)
A9 Menggunakan Komponen dengan Kerentanan yang Diketahui
API A10 Underprotected
Daftar 2017 meskipun sangat mirip dengan yang sebelumnya, telah banyak diperdebatkan terutama karena poin 7, tidak dianggap oleh semua orang untuk dibagikan. Faktanya adalah bahwa, meskipun tidak dibagikan oleh semua, ini dapat dianggap sebagai titik awal yang sangat baik untuk mempelajari risiko yang ada di dunia aplikasi web.
Untuk mempelajari lebih lanjut:
- https://www.owasp.org
- https://www.sourceclear.com
- http://www.cert.org/secure-coding/standards/index.cfm
- https://2017.appsecusa.org/
