Germany/Projekte/Top 10-2017 Einleitung

Diese große Überarbeitung bringt mehrere neue Themen, darunter zwei von der OWASP-Community ausgewählte Aspekte – A8:2017-Unsichere Deserialisierung und A10:2017-Unzureichendes Logging&Monitoring. Zwei wesentliche Unterschiede zu früheren OWASP Top 10-Ausgaben sind das starke Feedback durch die Community und eine umfangreiche Datenerhebung durch dutzende von Organisationen, vermutlich die größte die je für die Vorbereitung von Best-Practices für Anwendungssicherheit erhoben wurde. Dies gibt uns das Vertrauen, dass die neuen OWASP Top10 die Sicherheitsrisiken in Anwendungen mit den größten Auswirkungen für Organisationen adressiert. In erster Linie basiert OWASP Top 10 – 2017 auf über 40 Datenzulieferungen von auf Anwendungssicherheit spezialisierten Firmen und auf einer Befragung von über 500 Sicherheitsexperten. Die Datenzulieferung umfasst die Schwachstellen von hunderten von Firmen mit insgesamt über 100.000 existierenden Anwendungen und APIs. Die Top 10 Rangliste ergibt sich aus den Verbreitungsdaten in Verbindung mit abgestimmten Abschätzungen zu Ausnutzbarkeit, Nachweisbarkeit und Auswirkungen. Es ist ein wesentliches Ziel der OWASP Top 10, Entwickler, Designer, Architekten und Führungskräfte von Organisationen und Unternehmen über die Risiken der wichtigsten Schwachstellen von Webanwendungen aufzuklären. Die Top 10 stellen grundlegende Techniken zum Schutz gegen diese hochriskanten Probleme vor. Sie zeigen auch auf, wie es danach weitergeht.

Hören Sie nicht bei 10 auf! Es gibt hunderte von Problemen, die Auswirkungen auf die Gesamtsicherheit einer Webanwendung haben wie im OWASP Developer's Guide und in der OWASP Cheat Sheet Series. dargestellt. Diese sollten von jedem Entwickler von Webanwendungen und APIs gelesen werden. Ein Leitfaden zum effizienten Finden von Schwachstellen in Webanwendungen uns APIs liefert der OWASP Testing Guide. Ständiger Wandel! Die OWASP Top 10 befinden sich in stetem Wandel. Ohne eine einzige Codezeile in der Anwendung zu ändern kann sie angreifbar werden sobald neue Schwachstellen aufgedeckt und Angriffsmethoden verfeinert werden. Bitte berücksichtigen Sie die Ratschläge am Ende der Top 10 unter Nächste Schritte für Entwickler, Sicherheitstester, Organisationen und Anwendungs-Verantwortliche für mehr Informationen.
Denke positiv! Wenn Sie bereit sind, das bloße Reagieren auf Schwachstellen zu beenden und stattdessen den Fokus auf die Implementierung von starken Sicherheits-funktionen in der Anwendung legen wollen, ist das OWASP Proactive Controls-Projekt ein guter Startpunkt für Entwickler, um Sicherheit in ihre Anwendungen einzubauen. Der OWASP Application Security Verification Standard (ASVS) ist ein Leitfaden für Organisationen und Prüfer von Anwendungen.
Nutze Tools mit Bedacht! Sicherheitslücken können sehr komplex und versteckt im Code sein. Oft ist zum Finden und Beseitigen dieser Lücken der Einsatz von Experten mit Profi-Tools am kosteneffektivsten. Das alleinige Vertrauen auf Tools gibt ein trügerisches Sicherheitsgefühl und wird nicht empfohlen.
Schauen Sie über den Tellerrand! Machen Sie Sicherheit zu einem integrierten Bestandteil Ihrer IT-Organisation. Informieren Sie sich über das OWASP Software Assurance Maturity Model (SAMM).

Unser Dank gilt den Firmen für das Bereitstellen der Daten über Sicherheitslücken für die 2017-Aktualisierung. Wir erhielten mehr als 40 Antworten auf unseren Aufruf zur Datenerhebung. Zum ersten Mal sind alle zu dem neuen Release beigesteuerten Daten und die vollständige Liste der Mitwirkenden öffentlich einsehbar. Wir denken, dass dies eine der größeren vielfältigeren Schwachstellensammlun-gen ist, die je öffentlich gesammelt wurden. Aus Platzgründen werden die beitragenden Firmen auf einer eigenen Seite Danksagung aufgeführt. Abschließend danken wir im Voraus allen Übersetzern dort draußen, die diese Version der Top 10 in zahlreiche Sprachen, um OWASP Top 10 auf dem ganzen Planet leichter zugänglich zu machen. And finally, we'd like to thank in advance all the translators out there who will translate this release of the Top 10 into numerous different languages, helping to make the OWASP Top 10 more accessible to the entire planet.