A partir de hoje, a OWASP é a sua melhor amiga. Se você não sabe quem é a OWASP e também não usou o Google até aqui, confira aqui. A seguir, alguns dos principais projetos da OWASP. Observe que a OWASP tem mais de 300 projetos, e essa lista foi construída com base em experiência, podendo variar de empresa pra empresa.
O maior projeto que você precisa acompanhar é o Top 10. A OWASP Top 10 é uma coleção das 10 principais ameaças de seguranças identificadas pela organização. Atualizada de tempos em tempos, consiste de oito principais levantadas por meio de análise de dados, considerando "prevalência" ao invés de quantidade de testes, e duas orquestradas pela comunidade. Observe que, quando falamos de "Top 10 OWASP", geralmente nos referimos ao Top 10 de vulnerabilidades WEB. No entanto, a OWASP disponibiliza um Top 10 Mobile, API, LLM, entre outros. É muito importante identificar o que faz mais sentido no contexto da sua empresa!
💡 Além dessa extrema relevância, o Top 10 é de longe o tópico mais perguntado nas entrevistas para a senioridade júnior/sandy: geralmente pedem o conceito de uma ou mais vulnerabilidades, como identificar ela no código, como ela pode ser explorada e qual seria a correção sugerida!
O ASVS (Application Security Verification Standard) é um conjunto de requisitos e controles de segurança usado para avaliar e verificar a segurança de aplicações. Ele fornece uma estrutura detalhada para garantir que as aplicações estejam protegidas contra ameaças comuns. Já o MASVS (Mobile Application Security Verification Standard), é uma extensão do ASVS especificamente projetada para avaliar a segurança de aplicativos móveis. Ele estabelece diretrizes e requisitos específicos para garantir a robustez da segurança em plataformas móveis, abordando ameaças únicas associadas a aplicativos para dispositivos móveis. Esses dois projetos, são instrumentos valiosos para desenvolvedores e AppSecs, apoiando como checklists para levantamento de requisitos de segurança e apoio na Modelagem de Ameaças:
- ASVS - Application Security Verification Standard
- MASVS - Mobile Application Security Verification Standard
O OWASP Cheatsheets é um recurso que consiste em documentos de referência rápida contendo orientações práticas e conselhos para abordar desafios específicos de segurança em desenvolvimento de software. Esses cheatsheets são projetados para auxiliar a implementar boas práticas de segurança durante o ciclo de vida do desenvolvimento de software e abrangem uma variedade de tópicos, desde codificação segura até mitigação de ameaças específicas, fornecendo informações detalhadas e acionáveis para melhorar a segurança de aplicações. Esse projeto costuma ser uma mão na roda ao lidar com desenvolvedores com menos experiência em segurança, com traz exemplos de código em linguagens específicas, com soluções práticas que elespodem reutilizar.
O projeto OWASP WSTG produz o principal recurso de testes de segurança para desenvolvedores de aplicações web e profissionais de segurança. O WSTG é um guia completo para testar a segurança de aplicações e serviços na web. Criado pelos esforços colaborativos de profissionais de segurança cibernética e voluntários dedicados, o WSTG fornece uma estrutura de melhores práticas utilizadas por pentesters e organizações em todo o mundo.
O OWASP Mobile Application Security Testing Guide (MASTG) é um manual abrangente para testes de segurança de aplicativos mobile e engenharia reversa. Descreve processos técnicos para verificação dos controles listados no OWASP MASVS.