This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Germany/Projekte/Top 10-2017 Nächste Schritte für Software-Entwickler

From OWASP
Revision as of 22:45, 18 December 2018 by T.Gigler (talk | contribs) (Created Page)

(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

==BAUSTELLE! Hier entsteht das deutsche Wiki der OWASP Top 10-2017==

==Bitte benutzen Sie die PDF Version.==

← A10-Unzureichendes Logging&Monitoring
2017 Inhaltsverzeichnis

PDF version

Nächste Schritte für Sicherheitstester →
Umfassende Sicherheitsmaßnahmen etablieren und nutzen

Egal ob man ein Neuling im Bereich der Webanwendungssicherheit ist oder schon mit den erläuterten Gefahren vertraut ist – die Entwicklung einer neuen sicheren Webanwendung oder das Absichern einer bereits existierenden kann sehr schwierig sein. Für die Betreuung eines großen Anwendungsportfolios kann das sehr abschreckend sein.
Um Organisationen und Entwicklern dabei zu helfen Ihre Anwendungssicherheitsrisiken kostengünstig zu reduzieren, stellt OWASP zahlreiche kostenlose und frei zugängliche Ressourcen zur Verbesserung der Anwendungssicherheit zur Verfügung. Im Folgenden werden einige dieser OWASP-Ressourcen, die Organisationen helfen können sichere Webanwendungen oder APIs zu erstellen, vorgestellt. Auf der nächsten Seite stellen wir einige OWASP-Ressourcen vor, die Organisationen dabei helfen können Ihre Anwendungssicherheit zu überprüfen.

Anwendungssicherheits-Anforderungen

Um eine sichere Web Anwendung zu erstellen ist es wichtig vorher zu definieren was "sicher" im Falle einer speziellen Anwendung bedeutet. OWASP empfiehlt dazu den OWASP Application Security Verification Standard (ASVS) als Leitfaden zur Erstellung von Sicherheitsanforderungen. Bei Outsourcing der Anwendungsentwicklung empfiehlt sich der OWASP Secure Software Contract Annex (deutsch).
Hinweis: Das Dokument ist ausschließlich als Orientierungshilfe anzusehen, es bezieht sich auf US-Recht. Konsultieren Sie in jedem Fall einen spezialisierten Anwalt, bevor Sie es benutzen.

Anwendungssicherheits-Architektur

Anstatt Sicherheit nachträglich in eine Anwendung oder API einzubauen, ist es kosteneffektiver, diese schon beim Design zu beachten. OWASP empfiehlt hierzu die OWASP Prevention Cheat Sheets als einen guten Startpunkt, um die Anwendung von Anfang an sicher zu konstruieren.

Standardisierte Sicherheitsmaßnahmen

Die Entwicklung starker und anwendbarer Sicherheitsmaßnahmen ist nicht trivial. Standardisierte Sicherheitsmaßnahmen vereinfachen die Entwicklung sicherer Anwendungen oder APIs. OWASP Proactive Controls ist ein guter Startpunkt für Entwickler. Viele moderne Frameworks enthalten heute schon standardmäßig effektive Sicherheitsprüfungen für Autorisierung, Validierung, CSRF-Schutz etc.

Sicherer Entwicklungszyklus

Um den Prozess zur sicheren Anwendungserstellung in einer Organisation zu verbessern, empfiehlt OWASP das OWASP Software Assurance Maturity Model (SAMM). Das Modell hilft bei der Formulierung und Umsetzung einer Software Sicherheitsstrategie, die die spezifischen Risiken Ihrer eigenen Organisation berücksichtigt.

Trainings für Anwendungssicherheit

Das OWASP Education Project bietet Trainingsunterlagen zur Schulung von Entwicklern im Bereich der Webanwendungssicherheit. Um praxisbezogene Erfahrungen über Schwachstellen zu sammeln empfiehlt die OWASP OWASP WebGoat, WebGoat.NET, OWASP NodeJS Goat, OWASP Juice Shop Project oder das OWASP Broken Web Applications Project. Um aktuell zu bleiben besuchen Sie die OWASP AppSec Conference, OWASP Conference Training, ein OWASP Training oder eines der lokalen OWASP Chapter meetings.

Es stehen zahlreiche weitere OWASP Ressourcen zur Verfügung. Besuchen Sie die OWASP Projects-Übersicht, die eine Liste aller Flagship-, Lab- und Incubator-Projekte des OWASP Projektinventars bereitstellt. Viele OWASP Ressourcen sind in unserem Wiki, verfügbar und können auch in Papierformat oder als eBooks bestellt werden.

← A10-Unzureichendes Logging&Monitoring
2017 Inhaltsverzeichnis

PDF version

Nächste Schritte für Sicherheitstester →

© 2002-2017 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png