heise devSec 2017: 2017: OWASP Top 10 und OWASP-Perlen (Dirk Wetter)

Websoftware gehört die Welt, sie läuft im Browser, auf dem Server oder auf dem zirka 5 Zoll großen tragbaren Computer, mit dem man auch telefonieren kann – wenn es sein muss. Sicherheit bei der allgegenwärtigen Software war lange Zeit eher dem Zufall bzw. allein den Fähigkeiten der Entwickler oder kopierten Codefragmenten von Stackoverflow et al. überlassen.nnDas OWASP-Projekt (Open Web Application Security) hat sich in den vergangenen Jahren zu der (!) Institution gemausert, die nicht nur kostenlos, sondern nach Open-Source-Lizenzen fundiertes Wissen, Software und mehr zur Verfügung stellt. Eines der Flagschiff-Projekte ist die OWASP-Top-10-Liste, die 2017 in der sechsten Inkarnation zur Verfügung steht.nnDer Vortrag erklärt die Grundlagen der OWASP Top 10, zeigt, was sich geändert hat, wozu das Dokument benutzt werden soll und wo dessen Grenzen sind.nnSoftwaresicherheit sollte jedoch keinesfalls bei den OWASP Top 10 aufhören. Es gibt viele weitere OWASP-Projekte, die sich an jeden mit Sicherheit Befassten wenden, sei es Entwickler, Manager oder Pentester. Dieser zweite Teil des Vortrags stellt kurz eine handverlesene Auswahl von Projekten vor, die es sich lohnt, näher anzuschauen.