Проєкт OWASP Top 10 оприлюднив для відкритого обговорення чорнову версію наступної інкарнації свого відомого рейтингу ризиків програмної безпеки. Я прочитав його з великим задоволенням і хочу поділитися своїми думками. tl; dr: Мені дуже сподобалось і я хотів би, щоб текст документу не змінився до офіційного випуску.
Трохи історії від інсайдера OWASP. OWASP Top 10 – це найвідоміший проєкт OWASP. Для деяких недосвідчених аудиторій це еквівалент усього OWASP. Звісно, це неправильно, але вже як є. Серед членів OWASP ходить жарт. Мовляв, хоча наша цільова аудиторія – це розробники програмного забезпечення, менеджери та фахівці з безпеки, більшість із них не знають, що таке OWASP. Але ті, хто думає, що знає, думають, що це OWASP Top 10.
Окрім жартів, OWASP Top 10 має величезний вплив на галузь Application Security. І, як і з багатьма впливовими речами, цей вплив хороший, якщо його застосовано правильно, і не дуже хороший в протилежному разі.
Причина негативного впливу Топ 10 проста. Багато читачів розглядають OWASP Top 10 (2017 та попередні версії) як стандарт безпеки, але це не так. Топ 10 – це інформаційний матеріал, написаний, структурований та проілюстрований з метою ознайомлення його аудиторії з безпекою програмного забезпечення. Він містить інформацію про найбільш поширені ризики програмної безпеки. Але дотримання його як стандарту цю безпеку не гарантує. Просто тому, що це всього лише десять із сотень ризиків безпеки, решта яких, що можуть бути набагато серйознішими, просто не потрапили до верхівки айсбергу.
Проте, OWASP Top 10 виглядає акуратно, читається приємно і приносить користь, тому він такий популярний. Як наслідок, це звісно ж приваблює маркетологів. І ось, постачальники безпеки та консалтингові компанії вже продають аудити безпеки на відповідність, сканери вразливостей та тести на проникнення згідно з вимогами OWASP Top 10. Це абсолютна нісенітниця, але кого це хвилює? Успішна торгова марка OWASP та її флагманський проєкт добре “продають”, і є люди, які поспішають цим скористатися. Часто доходить до абсурду, коли компанії оголошують тендери з вимогою провести мережевий та соціальний пентест відповідно до вимог OWASP Top 10. А тим більше коли клієнти запитують, чи буде тестування на OWASP Top 5 вдвічі дешевше, ніж на OWASP Top 10.
Як би це не було погано, OWASP Top 10 – це стандарт де-факто, який використовують, чи, скоріше, яким зловживають багато людей та компаній. І тут, увага, фокус. Зміни у версії OWASP Top 10 2021 роблять його застосовним як стандарт безпеки. Наприклад, додано цілий розділ «Небезпечний дизайн» (мова про архітектуру безпеки) та деякі концептуальні загрози, які часто не помічаються командами розробників. Бо, погодьтеся, для багатьох із них безпека додатків починається зі стороннього пентеста.
Топ 10 2021 є більш зрілим як стандарт, а краще сказати, нарешті нагадує стандарт. І я впевнений, що цей факт уже завдає багато болю та страждань маркетологам. Яким чином ваша хмарна супер-пупер вундервафля нового покоління просканує на відсутність або небезпечний збір логів (A09) або на небезпечну архітектуру додатку (A04)? Однією зі стратегій боротьби з цими змінами може бути заява, що версія 2021 є надто високорівневою, а їхнє “рішення” залишається на версії 2017. Я увесь увага і з нетерпінням чекаю на початок цього шоу.
Як я вже сказав, я великий шанувальник OWASP Top 10 2021. Це результат настільки нового рівня, що це важко описати словами. Формулювання, стиль, легкість розуміння мають тепер першорядне значення. Елегантність представлення читачеві нових понять безпрецедентна. Прогрес очевидний, надихає і приємний для моїх очей. І якщо насправді з самого початку планувалося протягнути OWASP Top 10 в усі куточки галузі, а потім оновити його до повноцінного стандарту кібербезпеки, я поклоняюся перед навичками соціальної інженерії та стратегічного планування команди проєкту. Сунь-цзи пишався б вами.
Я хочу почати використовувати OWASP Top 10 2021 у нашій роботі в BSG якнайшвидше, і я не можу дочекатися його офіційного виходу. Раджу подумати про це і вам. А поки що – бережіться.
Оновлено 26 вересня 2021 р. Як виявилося під час виступу керівника проєкту OWASP Top 10 Ендрю ван дер Стока на конференції OWASP, присвяченій двадцятиріччю організації, що відбулася 24 вересня, так і було задумано. Ендрю згадав, як після релізу Топ 10 багато років тому він намагався застерегти аудиторію від використання документу як стандарту, і як попри всі його зусилля усі миттєво почали використовувати його як стандарт. Отже, курс на узагальнення та стандартизацію взято свідомо. Щоправда, варто зазначити, що OWASP Top 10 це мінімальний з мінімальних мінімумів програмної безпеки, від якого командам розробки треба відштовхуватися, а не до якого їм треба прагнути дотягнутися.