This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Category:OWASP Enterprise Security API/es

From OWASP
Jump to: navigation, search

Proyecto OWASP API de seguridad empresarial (ESAPI)

La ESAPI es una colección gratis y abierta de todos los métodos de seguridad que un desarrollador necesita para construir una aplicación Web segura. Usted puede usar solo las interfases y construir su propia implementación usando la infraestructura de su compañía. O, puede user la implementación de referencia como un punto de inicio. En concepto, la API es independiente del lenguaje. Sin embargo, los primeros entregables del proyecto son una API Java y una referencia de implementación Java. Esfuerzos para construir ESAPI en .NET y PHP están en marcha.

Desafortunadamente, las plataformas disponibles, y herramientas (Java EE, Struts, Spring, etc...) simplemente no proporcionan protección suficiente. Esto deja a los desarrolladores con la responsabilidad de diseñar y construir mecanismos de seguridad. Este reinventado de la rueda para cada aplicación lleva a una perdida de tiempo y agujeros de seguridad masivos.

Los ahorros de costos a través de tiempos de desarrollo reducidos, y la seguridad incrementada debido al uso de métodos de seguridad fuertemente analizados y cuidadosamente diseñados proporcionan a los desarrolladores con ventajas masivas sobre organizaciones que están tratando de lidiar con la seguridad usando técnicas seguras de programación para este propósito. Esta API esta diseñada para hacerse cargo automáticamente de muchos aspectos de la seguridad en aplicaciones, haciendo estos problemas invisibles para los desarrolladores.

El proyecto OWASP ESAPI es dirigido por Jeff Williams, quien sirve como presidente de voluntariado de OWASP y es el CEO de Aspect Security. Jeff es un desarrollador de software que se ha especializado en seguridad de aplicaciones desde 1995. ESAPI es el resultado de mas de una década de revisión de código y pruebas de intrusión de aplicaciones empresariales criticas. Si desea ser voluntario para ayudar en el proyecto, puede contactarlo en [email protected].


Descargar ahora

Esta versión es la primera versión publica e indudablemente se someterá a una revisión significativa en los próximos meses. Estamos buscando organizaciones dispuestas a usar ESAPI en un programa piloto y que trabajen con nosotros para hacer esta biblioteca mejor. Por favor contacte a [email protected] para mas información. Si esta interesado en seguridad de aplicaciones, por favor únase a lalista de correos de OWASP ESAPI y ayude a hacer ESAPI mejor!

Ultima versión (versiones anteriores están publicadas en el repositorio de código)

Primeros pasos

Arquitectura

La arquitectura de ESAPI es muy simple, es solo una colección de clases que encapsula las operaciones clave de seguridad que la mayoría de las aplicaciones necesitan. ESAPI esta diseñado para hacer fácil el ajustar la seguridad en aplicaciones existentes, así como proporcionar una base sólida para un nuevo desarrollo. Nuevos proyectos de desarrollo deberían considerar integrar ESAPI en su framework para hacer que la seguridad ocurra automáticamente. ESAPI viene con un filtro ESAPI que minimiza los cambios requeridos en su aplicación base.

OWASP_ESAPI_Architecture_es.png

ESAPI cubre la mayoría de los retos de seguridad que enfrentan los desarrolladores. ESAPI provee la capacidad a los desarrolladores para crear aplicaciones que están protegidas en contra de casi todos los riesgos descritos en el OWASP Top Ten. Compare esta cobertura con escaneo automático y herramientas de análisis estático, y entonces considere como es mejor empleado su tiempo.

OWASP_ESAPI_Top_Ten_es.png

Hay dos partes clave en ESAPI:

  • Un conjunto de interfaces
  • Una implementación de referencia

Usando ESAPI, las aplicaciones a lo largo de una organización serán mas fáciles de desarrollar, mas consistentes, y mas fáciles de actualizar en un solo lugar. El uso de ESAPI hará mucho mas fácil para las herramientas de análisis estático verificar una aplicación, como las llamadas a ESAPI pueden ser construidas en el conjunto de reglas.

Patrocinadores del proyecto

El proyecto OWASP ESAPI es patrocinado por Aspect_logo.gif

Licenciamiento

Este proyecto tiene doble licenciamiento bajo GPL and BSD. Elija cualquiera que se ajuste a su política corporativa...[JFM]

This category currently contains no pages or media.