OWASP German Chapter Wer wir sind. Was wir machen. Wie wir helfen.

Transkript

1 The OWASP Foundation OWASP German Chapter Wer wir sind. Was wir machen. Wie wir helfen. Tobias Glemser Ralf Reinhardt 4.

2 Was ist OWASP?

3 Was ist OWASP? Das Open Web Application Security Project will Sicherheit in (Web-)Anwendungen sichtbar machen und Lösungen bereitstellen mit Dokumenten Tools Kongressen

4 Was ist OWASP? Das Open Web Application Security Project hilft damit Entwicklern Entscheidern QA-Spezialisten Penetrationstestern Ihnen

5 Was ist OWASP? Werte Offen Innovativ Weltweit vertreten Integer

6 Was ist OWASP? Prinzipien Frei und Offen Getrieben durch Konsens und funktionierenden Code Ausgerichtet an Werten Non-profit Nicht von kommerziellen Interessen getrieben Risiko basierte Ansätze

7 Was ist OWASP? Organisationsstruktur Board Chapter Mitglieder

8 Was ist OWASP? Chapter Lokale Organisationseinheiten Kann jeder überall einrichten (auch in einzelnen Städten/Regionen) Grundlegen im Chapter Handbook

9 Was ist OWASP? Mitglieder Firmen Einzelpersonen Edukative Einrichtungen

10 Projekte Projekte haben vier mögliche Stati (Stand November 2011) Aktiv (20) Beta (26) Alpha (über 50) Inaktiv (6)

11 Projekte Projekte unterteilt in Tools Dokumente Jeweils kategorisiert in Schutz Erkennung Lebenszyklus

12 Bekannteste Projekte OWASP Top 10 (2004, 2007, 2010) OWASP Development Guide OWASP Code Review Guide OWASP Testing Guide OWASP Zed Attack Proxy (ZAP) OWASP Live CD Project/Broken Web Apps

13 Das deutsche Chapter Derzeit ein Chapter in Deutschland Aktuell 6 Personen im Board Regelmäßige lokale Stammtische in Düsseldorf Frankfurt Hamburg Karlsruhe Köln München Nürnberg Stuttgart

14 Das deutsche Projekte Chapter Best Practices: Web Application Firewalls (2008 abgeschlossen) Projektierung der Sicherheitsprüfungen von Webanwendungen (2009 abgeschlossen) Top Übersetzung (2011 abgeschlossen)

15 Das deutsche Chapter Projekte Review BSI-Grundschutz Baustein Webanwendungen (2012 abgeschlossen) German Language Project (aktiv)

16 Das deutsche Chapter Konferenz OWASP Day Germany Ehemals AppSec Germany Seit 2008 Größter Event zu Webanwendungssicherheit in Deutschland 06./07. November 2012 Stand auf der it-sa/vortrag hier Ziel: OWASP noch bekannter machen

17 Die Zukunft Mehr Stammtische Mehr Projekte Höhere Reichweite Weitere Aspekte von Anwendungssicherheit (Mobility) Mehr Mitglieder Firmen Personen Mehr aktive Projektteilnehmer

18 Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen

19 Die Projektgruppe Marco Di Filippo (Compass Security) Tobias Glemser (Tele-Consulting security networking training GmbH) Achim Hoffmann (damals SecureNet, heute sic[!]sec) Barbara Schachner (Siemens CERT) Dennis Schröder (TÜV IT) Feilang Wu (Siemens CERT)

20 Um was geht's?

21 Um was geht's? Erfahrungswerte von Dienstleistern und Kunden Wie projektiere ich intern? Wie definiere ich meine Anforderungen? Wie finde ich geeignete Dienstleister?

22 Projektverlauf Diskussion am OWASP Stand auf der IT-SA Oktober 08 Erste Anfrage an OWASP Mailing- Liste: Erste Antwort: Grober Projektablaufplan: Januar 09 Erster Draft: Februar 09 Fertigstellung: Oktober 09

23 Projektverlauf Problem: Keine Kunden Lösung: Kunden Zweiter Draft: April 09 Dritter Draft: Juni 09 (inkl. ein Ausstieg aus beruflichen Gründen) Kick-Off Workshop im August Finalisierungs-WS Mitte September Version 1.01 auf owasp.org: 9. Oktober

24 Anforderungen: Kundenseite Art der Prüfung VA/Pentest Quellcode-Analyse Architektur-Analyse Prozess- und Dokumentations- Analyse (z. B. auf Basis IT- Grundschutz oder ISO native )

25 Anforderungen: Kundenseite Zielformulierung Definition und Beschreibung des Ziels Teilnehmer Definition der Zeiten Freigaben (!) Vertraulichkeitserklärungen Haftung

26 Anforderungen: Dienstleister Unternehmensgeschichte Projektteam Beschreibung der Vorgehensweise und Methodik Werkzeuge/Tools Inhalt des Berichts Transparenz!

27 Anforderungen: Dienstleister Referenzen Veröffentlichungen Mitgliedschaften Zertifizierungen Datentransfer Haftpflicht

28 Fazit FUD Gemeinsame Sprache und gemeinsames Verständnis der Ziele aller Beteiligter oberstes Gebot Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung

29 Kontakt und Informationen o/ owasp-germany (eintragen!) Tobias Glemser Ralf Reinhardt