Difference between revisions of "Oppilaitoksille"
| (2 intermediate revisions by the same user not shown) | |||
| Line 13: | Line 13: | ||
* [[Software_Assurance_Maturity_Model|OpenSAMM]] | * [[Software_Assurance_Maturity_Model|OpenSAMM]] | ||
2. Turvallinen sovellusarkkitehtuuri | 2. Turvallinen sovellusarkkitehtuuri | ||
| − | * yleiset sovelluskontrollit | + | * yleiset [[Control|sovelluskontrollit]] |
| − | * erilaiset web-frameworkit, [[OWASP_Enterprise_Security_API|OWASP | + | * erilaiset web-frameworkit, [[OWASP_Enterprise_Security_API|OWASP ESAPI]], [[OWASP_AntiSamy_Project|AntiSamy]] |
3. Webin yleisimmät haavoittuvuudet | 3. Webin yleisimmät haavoittuvuudet | ||
* [[OWASP_Top_Ten_Project|OWASP Top 10]] | * [[OWASP_Top_Ten_Project|OWASP Top 10]] | ||
| Line 20: | Line 20: | ||
* opetusympäristönä [[OWASP_WebGoat_Project|WebGoat]] | * opetusympäristönä [[OWASP_WebGoat_Project|WebGoat]] | ||
4. Uhkamallinnus | 4. Uhkamallinnus | ||
| + | * [[Threat_Risk_Modeling|Threat modeling]] | ||
5. Turvallinen ohjelmointi, katselmointi ja testaus | 5. Turvallinen ohjelmointi, katselmointi ja testaus | ||
* [[OWASP_Guide_Project|Development Guide]] -opas | * [[OWASP_Guide_Project|Development Guide]] -opas | ||
Latest revision as of 19:59, 26 May 2010
Contents
Oppilaitosyhteistyö
OWASP Helsinki Chapter pyrkii levittämään tietoa www-sovelluksiin liittyvistä riskeistä ja yleisimmistä haavoittuvuuksista. Tähän sisältyvät parhaat käytännöt riskien pienentämiseen jo sovellusten suunnittelu- ja toteutusvaiheissa sekä menetelmät ja työkalut haavoittuvuuksien havaitsemiseen ennen tuotantokäytön alkamista. Keskeisenä osana tätä toimintaa on yhteistyö Suomessa toimivien oppilaitosten kanssa.
Sovellusturvallisuus ja verkkosovelluksiin liittyvät riskit ovat aihepiirejä, joita olisi tärkeä opettaa tuleville ohjelmistosuunnittelijoille ja -kehittäjille. Liiketoiminnan siirtyessä verkkoon, yhä suurempi paino on verkkosovellusten riskeissä. Tietoturvallisuuden nykyinen opetus ja tutkimus suomalaisissa oppilaitoksissa ei kokemustemme mukaan vastaa tämän päivän ohjelmistokehityksen, ja sitä kautta liiketoiminnan tarpeita.
Kurssitarjonta
Käytännön kokemusten perusteella, tietoturvallisuuteen liittyviä asioita tulisi sisällyttää nykyistä enemmän tulevien tietotekniikan ammattilaisten koulutukseen sekä suunnata tutkimustoimintaa myös tietoturvallisuuteen liittyviin aiheisiin. Tätä tarkoitusta varten OWASP:in projektien joukosta löytyy useita oppilaitosten käyttöön soveltuvia kokonaisuuksia kuten esimerkiksi:
1. Turvallisen ohjelmistokehityksen prosessit, elinkaari- ja kypsyysmallit
2. Turvallinen sovellusarkkitehtuuri
- yleiset sovelluskontrollit
- erilaiset web-frameworkit, OWASP ESAPI, AntiSamy
3. Webin yleisimmät haavoittuvuudet
- OWASP Top 10
- työkalu WebScarab
- opetusympäristönä WebGoat
4. Uhkamallinnus
5. Turvallinen ohjelmointi, katselmointi ja testaus
- Development Guide -opas
- Code Review Guide -opas
- Code Review Guide -opas
6. Sovellusturvallisuuden tarkastaminen
- OWASP ASVS (Application Security Verification Standard)
Tulemme mielellämme keskustelemaan aiheesta lisää oppilaitosten kanssa. Tarvittaessa voimme järjestää opetuksen tueksi myös vierasluennoitsijoita, jotka ovat alan kokeneita asiantuntijoita yritysmaailmasta.
Kansainvälinen toiminta
OWASP-toiminnassa on kansainvälisesti mukana yliopistoja, ja opiskelijoille on mahdollista saada järjestön kautta tukea alaan liittyviin tutkimusprojekteihin.
Konferenssit
OWASP järjestää säännöllisesti konferensseja, joihin osallistuu myös yliopistotutkijoita. Esimerkiksi:
http://owasp.blogspot.com/2009/12/owasp-appsec-research-2010-2nd-call-for_13.html
Yhteystiedot
Mikäli kiinnostuitte ja haluatte lisätietoja, voitte ottaa yhteyttä joihinkin allaolevista henkilöistä ([email protected]).
- Petteri Arola / PJ
- Pekka Sillanpää
- Henri Lindberg
