Actualización del proyecto OWASP Top 10 (cambia todo cambia)
El OWASP Top 10 es uno de los documento más fuertemente referenciado, más utilizado y más descargado en OWASP. Tal y como corresponde a un proyecto emblemático, se ha ganado el derecho de tener un mayor nivel de escrutinio y revisión y por eso su organización ha cambiado drásticamente en los últimos meses.
En abril pasado se publicó el OWASP Top 10 2017 RC1 y todo parecía apuntar a que cambiaría muy poco en la nueva lista de 2017. Sin embargo, en estos meses los líderes del proyecto han cambiado y el nuevo equipo ha discutido sobre las actualizaciones que deben hacerse al nuevo Top 10 de OWASP a partir de este año.
A continuación se muestra un resumen de los cambios que se incorporarán en la nueva lista:
En la encuesta, se deberían clasificar las cuatro categorías de vulnerabilidad más importantes, según los conocimientos y experiencia del encuestado. Las dos categorías de vulnerabilidad con la clasificación más alta se incluirán en el Top 10 2017. Esta información también ayudará a desarrollar un plan para estructurar mejor la convocatoria de datos para el OWASP Top 10 2020.
Otro objetivo es revisar y resolver preocupaciones ontológicas, tales como incluir cuestiones poco normales: en algunas circunstancias, es útil el punto de vista desde la perspectiva del desarrollador (documentada por los controles proactivos de OWASP) pero también sería útil agregar el punto de vista del "equipo azul defensivo" (actualmente inexistentes).
Debido a que las 10 principales categorías de vulnerabilidades de OWASP son importantes, debe haber un esfuerzo por facilitar el seguimiento. Cada edición debe contener consejos claros y eficaces sobre la remediación, la disuasión y la detección que pueden ser adoptadas por cualquier equipo de desarrollo, sin importar su tamaño.
Desde el punto de vista de la metodología, el nuevo equipo de trabajo está buscando aprender de las listas anteriores y llegar a un mejor proceso para el OWASP Top 10 en 2020.
Aquí puede leerse el anuncio oficial de los Líderes del Proyecto Top 10 de OWASP.
En abril pasado se publicó el OWASP Top 10 2017 RC1 y todo parecía apuntar a que cambiaría muy poco en la nueva lista de 2017. Sin embargo, en estos meses los líderes del proyecto han cambiado y el nuevo equipo ha discutido sobre las actualizaciones que deben hacerse al nuevo Top 10 de OWASP a partir de este año.
A continuación se muestra un resumen de los cambios que se incorporarán en la nueva lista:
- El nuevo Top 10 se enfocará en categorías de vulnerabilidad. Estas categorías se asignarán a uno o más CWEs donde sea posible.
- El contenido del documento buscará facilitar las traducciones a otros idiomas.
- El puntaje para las entradas del Top 10 se basará en el Common Weakness Scoring System (CWSS). Tradicionalmente, el OWASP Top 10 se vinculó a la lista Common Weakness Enumeration (CWE) mantenida por NIST/MITRE. En la nueva lista se seguirá alineando con los CWEs pero se utilizará el sistema de puntuación de CWSS para ayudar a proporcionar una medición estándar de la industria. En el escenario donde hay múltiples CWEs, se usará la marca más alta
- Los comentarios sobre la lista de correo se han trasladado a una nueva lista de problemas.
- Para la edición 2017, se seleccionarán 8 de las 10 vulnerabilidades a partir de los datos enviados a través de la convocatoria y las 2 restantes se seleccionarán de una encuesta en la industria. Los dos elementos que no estarán basados en datos serán apoyados por una encuesta cualitativa.
- La fecha límite para completar la encuesta es el 30 de agosto de 2017.
- Se vuelve a abrir la convocatoria para permitir la recopilación de datos adicionales para el análisis. El nuevo plazo es el 18 de septiembre de 2017.
- El Top 10 2017 RC2 se publicará el 9 de octubre de 2017.
- El lanzamiento final de Top 10 2017 está previsto para el 18 de noviembre de 2017.
Otro objetivo es revisar y resolver preocupaciones ontológicas, tales como incluir cuestiones poco normales: en algunas circunstancias, es útil el punto de vista desde la perspectiva del desarrollador (documentada por los controles proactivos de OWASP) pero también sería útil agregar el punto de vista del "equipo azul defensivo" (actualmente inexistentes).
Debido a que las 10 principales categorías de vulnerabilidades de OWASP son importantes, debe haber un esfuerzo por facilitar el seguimiento. Cada edición debe contener consejos claros y eficaces sobre la remediación, la disuasión y la detección que pueden ser adoptadas por cualquier equipo de desarrollo, sin importar su tamaño.
Desde el punto de vista de la metodología, el nuevo equipo de trabajo está buscando aprender de las listas anteriores y llegar a un mejor proceso para el OWASP Top 10 en 2020.
Aquí puede leerse el anuncio oficial de los Líderes del Proyecto Top 10 de OWASP.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!