Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Was ist OWASP?

Das Open Web Application Security Project (OWASP) ist eine gemeinnützige, weltweite Community, die sich der Verbesserung der Sicherheit von Software verschrieben hat. OWASP stellt frei verfügbare Ressourcen bereit, um Entwickler, Sicherheitsexperten und Unternehmen bei der Entwicklung sicherer Anwendungen zu unterstützen.

Zu den bekanntesten OWASP-Initiativen zählt die OWASP Top 10, eine regelmäßig aktualisierte Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen. Die OWASP-Gemeinschaft verfolgt das Ziel, Best Practices und Methoden zu definieren, die leicht verständlich, frei zugänglich und praxisnah sind.

Wichtige OWASP-Ressourcen

OWASP bietet eine Vielzahl von Projekten und Werkzeugen:

  • OWASP Top 10
    → Überblick über die häufigsten Schwachstellen (z. B. Injection, Broken Authentication, Insecure Design)

  • OWASP ASVS (Application Security Verification Standard)
    → Detaillierter Anforderungskatalog für die Sicherheitsvalidierung von Anwendungen

  • OWASP Mobile Top 10
    → Top Sicherheitsrisiken speziell für mobile Anwendungen

  • OWASP ZAP (Zed Attack Proxy)
    → Open-Source-Tool für dynamische Anwendungssicherheitstests (DAST)

  • Secure Coding Guidelines & Cheatsheets
    → Best Practices und Codierungsrichtlinien nach Themen gegliedert

Anwendung in der Praxis

OWASP wird häufig in Entwicklungs- und Sicherheitsprozesse integriert:

  • DevSecOps-Pipelines: Automatisierte Sicherheitsprüfungen mit SAST/DAST

  • Sicherer SDLC: OWASP als Grundlage für sichere Architektur, Entwicklung und Tests

  • Awareness & Training: Einsatz von OWASP-Trainingsmaterialien in Security-Schulungen

  • Compliance & Audits: Orientierung an ASVS für Auditierung und Kundenanforderungen

Unternehmen nutzen OWASP, um Security-by-Design zu fördern und Risiken frühzeitig im Entwicklungsprozess zu adressieren.

Verwandte Begriffe

  • Application Security

  • DevSecOps

  • Secure Coding

  • ASVS

  • Mobile Security

  • Static Application Security Testing (SAST)

  • Dynamic Application Security Testing (DAST)

  • CWE

Beispiel aus der Praxis

Ein Softwareunternehmen entwickelt eine neue Webplattform für Kundendatenmanagement. Um Sicherheitslücken frühzeitig zu erkennen, wird die OWASP Top 10 direkt in die Entwicklungsrichtlinien aufgenommen. Während der Continuous Integration (CI)-Phase laufen automatisierte SAST-Scans und ZAP-Dynamiktests. Die Anforderungen des OWASP ASVS werden als Grundlage für die Sicherheits-Checkliste verwendet. Nach mehreren Sicherheitsüberprüfungen vor dem Release können sämtliche kritischen Findings der Top 10 ausgeschlossen werden.

zum Glossar