Che cos’è l’Owasp Top 10 e perché è così importante per ogni sviluppatore?
Con questo e con i prossimi post andremo ad illustrare l’ultima versione dell’OWASP top 10: analizzeremo le singole voci, fornendo una spiegazione tecnica di cosa comporti la vulnerabilità esaminata e le best practices per evitare che possa essere sfruttata da un malintenzionato.
Ma ora partiamo dal definire cos’è OWASP.
Owasp è un’organizzazione no profit internazionale, che si pone l’obiettivo di studiare, migliorare e offrire un framework per gli sviluppatori, dando informazioni, best practices e tecniche per scrivere codice sicuro.
Essa opera a livello di comunità aperta, che include decine di migliaia di membri volontari, che condividono progetti open source, codice, documentazione e che assieme delineano standards e best practices. Estremamente diffusa a livello mondiale, si contano più di 250 realtà locali, organizzano anche conferenze ed eventi di divulgazione e formazione ad altissimi livelli.
Tutto il materiale prodotto dalla fondazione Owasp è assolutamente gratuito, strumenti, documenti, forum, tutto accessibile senza costi per tutti gli sviluppatori che vogliono rendere il proprio codice più sicuro.
La fondazione OWASP nasce nel lontano dicembre 2001, ed è diventata nel 2004 un ente di beneficenza senza scopo di lucro negli USA.
Ma quindi di cosa tratta l’OWASP top10? Ogni 3-4 anni, fra le varie attività della fondazione, vi è una raccolta delle 10 vulnerabilità più gravi e utilizzate dai threat actors per attaccare applicativi web. Ogni sviluppatore che si approccia allo sviluppo di web application dovrebbe sempre tenere a mente questa lista come se fossero i 10 comandamenti.
L’ultima versione risale al 2021. La cosa interessante di tale analisi è anche mettere in evidenza come, all’evolversi delle tecnologie in generale, anche le tecniche e vulnerabilità cambino, talvolta anche radicalmente, e come emergano nuove possibili falle di sicurezza che magari prima non erano nemmeno considerate.
