Category:OWASP Tools Project/es

Bienvenido al proyecto de herramientas OWASP

El objetivo del proyecto de herramientas OWASP es proporcionar información imparcial y practica y orientación acerca de las herramientas de seguridad en aplicación. En noviembre de 2007 su líder de proyecto es: Larry Suto y los miembros del equipo se están reuniendo para revisar este proyecto.

Puede leer el primer documento de Larry Versión 1.0 y la versión 2.0 del proyecto esta ahora en marcha con criterios revisados y la asistencia de OWASP y miembros de WASC y del proyecto ORB

Las pruebas de productos van a ser realizadas basadas en criterios definidos que medirá el desempeño de usabilidad y validación positiva en aplicaciones Web “red herring”, Generador de sitios OWASP, esto modela sistemas comunes y sistemas únicos.

Tales herramientas son generalmente usadas para ayudar a:

• Proteger aplicaciones
• Encontrar vulnerabilidades en las aplicaciones
• Probar otras herramientas de seguridad
• Educar gente en temas de seguridad en aplicación

Categorías de herramientas

Las categorías de las herramientas actualmente tomadas por este proyecto son (o serán):

• Cortafuegos de aplicación Web (WAFs) (en ingles)
• Herramientas de escaneo de vulnerabilidades de aplicación
• Herramientas de pruebas de intrusión de aplicación
• Herramientas de análisis de código fuente (en ingles)
• Aplicaciones de prueba y educacionales
• Herramientas de soporte de análisis de seguridad en aplicación

Tipos de herramientas

• Herramientas de OWASP
• Todas las herramientas de seguridad de aplicación
• Herramientas abiertas no OWASP
• Herramientas comerciales

Enfoque global

El objetivo de este proyecto es proporcionar la siguiente información (como mínimo) en cada categoría de herramienta:

• Descripción de esta categoría de herramienta
• Fortalezas y debilidades generales de las herramientas en esta categoría
• Criterios de selección importante para comparar herramientas dentro de la categoría (ejemplo: fácil de usar, desempeño, costo, probabilidad de falsos positivos)
• Lista de todas las herramientas de OWASP en esta categoría
• Lista de otras herramientas open source bien conocidas en esta categoría
• Lista de herramientas comerciales en esta categoría proporcionada por miembros de OWASP
• Lista de otras herramientas comerciales bien conocidas en esta categoría

Otras paginas relacionadas con herramientas a considerar

• Apéndice A: Herramientas de prueba (en ingles)
• Herramientas requeridas (en ingles)
• Definición para técnicas de auditorías de seguridad (en ingles)

Recursos generales de herramientas de seguridad en aplicación

Encuesta

En enero de 2006, el Dr. Holger Peine termino una encuesta de herramientas de seguridad en aplicación que puede encontrarse en: http://www.iese.fraunhofer.de/download/Security-Checker-Tools-for-Web-Applications.pdf. Cubre varias herramientas open source y comerciales en muchas de las áreas discutidas en este proyecto.

SAMATE

El NIST SAMATE – Proyecto de métricas de aseguramiento de software y evaluación de herramientas tiene un ambicioso objetivo de crear un gran conjunto de datos de prueba de seguridad en aplicación y luego evaluar las capacidades de una amplia variedad de herramientas de seguridad en aplicación.

Presentación

En la tercera conferencia de AppSec OWASP, Arian Evans hizo una presentación de Calidad de seguridad de software: Prueba de taxonomía y clasificación de herramientas de pruebas que enlista muchas de las herramientas en el espacio de seguridad en aplicación de diferentes categorías, y alguna información comparativa en productos de escaneo de seguridad de aplicaciones Web.

Retroalimentación y participación

Esperamos que encuentre útil el proyecto Herramientas de OWASP. Por favor contribuya con el proyecto enviando sus comentarios, preguntas y sugerencias a: Tom Brennan