OWASP Vakfı varlığının üçüncü on yılında ilerlerken, birçok uygulama güvenliği uzmanı ve OWASP’a gönüllü olarak katkıda bulunan kişiler, kuruluşun geçerliliğini korumak için bazı büyük değişiklikler yapmasının zamanının geldiğini söylüyor. Bu hafta, 60’tan fazla yüksek profilli OWASP üyesinden oluşan bir grup, OWASP Yönetim Kurulu’na ve vakfın icra direktörüne, vakfta önemli değişiklikler talep eden açık bir mektup gönderdi. Bu ortak imzacıların çoğu, önde gelen OWASP projelerinin liderleri, ömür boyu katkıda bulunanlar ve eski OWASP yönetim kurulu üyeleriydi.
İlk OWASP Top Ten’in yazarı, 2001’den 2011’e kadar OWASP başkanı ve ortak imzacılardan biri olan Contrast Security’nin kurucu ortağı ve CTO’su Jeff Williams, “OWASP artık inovasyonu yönlendirmiyor” diyor. “Açık kaynak değişti ve OWASP’nin katkıda bulunanları daha iyi destekleyerek ayak uydurması gerekiyor.”
İmzacılar arasında ayrıca iki mevcut yönetim kurulu üyesi, Glenn ten Cate ve Mark Curphey de vardı. Curphey, mektubun grup içindeki karşılıklı işbirliğinin sonucu olduğunu söylese de, aynı zamanda 2023 yönetim kurulunda başarılı bir koltuk için yaptığı başarılı teklifinin bir parçası olarak geçen yıl yayınladığı bir manifestoyla da çok yakından örtüşüyor. OWASP’ın kurucusu olarak Curphey, bir süredir kuruluşla doğrudan ilgilenmemişti, ancak güvenlik uygulayıcısı, güvenlik ürün lideri ve uygulama güvenliği alanında girişimci olmakla meşgulken her zaman OWASP’ın destekçisi ve savunucusu olmuştu. .
Curphey, yönetim kurulu kampanyası sırasında aşağıdaki üç ana noktaya odaklandı:
- OWASP’ın finansman modelini, Linux Foundation ve Open Software Security Foundation’ın projelerini desteklemek için bağışçılarla nasıl çalıştığına daha çok benzeyecek şekilde değiştirmek,
- projeleri temizlemek (ve yüksek etkili olanlara öncelik vermek) ve OWASP sitesini daha geliştirici dostu hale getirmek için yenilemek için bir baş ürün sorumlusu atamak ve
- bürokrasiyi ortadan kaldırmak ve satıcıların OWASP misyonuna nasıl dahil oldukları (veya olmadıkları) konusunda daha fazla şeffaflık eklemek için OWASP kültürünü değiştirmek.
Açık mektup, bu noktaların çoğunu yansıtırken, özel geliştiricileri ve proje liderlerini işe almak için milyonlarca doları çekebileceğini düşündükleri, kaynak yaratmada ciddi bir çabayı besleyebilecek bir yönetişim değişikliği çağrısında bulunuyor.
OWASP O Zaman ve Şimdi
OWASP 2001’de kurulduğunda, güvenli olmayan Web uygulamalarının İnternet’e getirdiği artan riskten endişe duyan uygulama güvenliği savunucuları tarafından kurulan, sevdalı bir çabaydı. Siber güvenlik uzmanlarının dışında sorunla ilgili farkındalığı artırmak istediler. Ve böylece OWASP, yalnızca güvenlik uzmanlarına değil, aynı zamanda geliştiricilere ve kurumsal paydaşlara da eğitim ve kaynak sağlamaya yardımcı olmak için doğdu.
Buradaki fikir, kuruluşlara, geliştiricilerin kodlama uygulamalarını iyileştirmelerine ve dağıttıkları yazılımlardaki güvenlik açıkları riskini azaltmalarına olanak sağlayabilecek teknik rehberlik sağlamaktı. Bu, grubun ilk kez 2003’te yayınlanan ve o zamandan beri çok sayıda güncelleme ve alt liste oluşturan ve bir dizi açık güvenlik kaynağını ateşleyen, uygulamalardaki en riskli 10 kusurun övülen listesi olan OWASP İlk 10’un doğuşuydu. projeler, ticari ürünler ve hizmetler.
O ilk yıllardan bu yana çok şey değişti. OWASP’ın farkındalık parçası kesinlikle hedefine ulaştı ve bugün grup, dünya çapında 240’tan fazla şubeyi ve on binlerce üye ve katılımcıyı destekleyecek şekilde büyüdü. Tam bir yerel ve küresel etkinlikler listesine ve İlk 10, Yazılım Güvencesi Olgunluk Modeli (SAMM) ve Zed Attack Proxy (ZAP) gibi bir dizi projeye ev sahipliği yapar.
Bununla birlikte, dünya Web uygulamalarının çok ötesine geçtiğinden ve artık hepsi yazılım tarafından yönetilen mobil uygulamalar, IoT ve gömülü sistemler, giyilebilir cihazlar ve aradaki her şeyle dolup taştığı için, yapılacak uygulama güvenliği çalışmasının kapsamı önemli ölçüde genişledi. .
Ve geliştirme ortamı da kökten değişti. Modern geliştirme uygulamaları, geleneksel şelale geliştirme kalıplarından devralmak için sürekli entegrasyon/sürekli teslimat (CI/CD), DevOps ve Çevik geliştirme gibi yöntemleri bir araya getirdi. Geliştiriciler, yazılımlarını oluşturmak için büyük ölçüde mikro hizmet mimarilerine ve açık kaynak bileşenlerini karıştır ve eşleştir’e güvenirler.
Ne yazık ki tüm bu değişimler karşısında bazı şeyler de aynı kaldı. İlk OWASP İlk 10’daki sorunların çoğu, enjeksiyon kusurları, yanlış yapılandırmalar ve kimlik doğrulama hataları dahil olmak üzere bugün de sorunlu ve hala listede. Ancak şimdi, hiçbir zaman ortadan kalkmayan bu rahatsız edici sorunlar, yalnızca genişletilmiş kapsam, geliştirme hızı ve yıllar içinde karışıma eklenen yazılım tedarik zinciri bağımlılıkları karmaşasıyla daha da kötüleşiyor.
Değişim için Yaygara
Bu faktörler bağlamında, birçok OWASP çalışanı, kar amacı gütmeyen kuruluşun yazılım geliştirme dünyasındaki değişimin hızına ayak uyduramadığını iddia ediyor. Vakfın, özellikle OWASP’ın diğer 274 projesi arasında bir düzineden fazla projeyi içeren vakfın amiral gemisi projeleri ile ilgili olarak OWASP topluluğunun ihtiyaçlarını desteklemediğini söylüyorlar.
Açık mektupta, “Geçmişte işe yarayanlar şimdi çalışmıyor ve OWASP’ın değişmesi gerekiyor. Yıllar geçtikçe endişeler dile getirildi ve değişim vaatleri verildi, ancak her yıl olmadı” dedi. OWASP Yönetim Kurulu ve vakfın icra direktörü. “Projelerimizin ve çevrelerindeki topluluğun istekleri ile OWASP’ın sağladığı destek arasındaki uçurum büyümeye devam ediyor.”
Bu son mektubun yayınlanmasıyla, mektubun ortakları, OWASP’ın en etkili projelerinden bazılarının – bugün birçok işletme ve işletmelerin kullandığı ürünler tarafından güvenilen projeler – “bağımsız olarak çalışmaya, bazı durumlarda kendi sponsorluklarını yönetmeye” bırakıldığını söylüyor. finans, web siteleri, etki alanları, iletişim platformları ve geliştirici araçları.”
İmzacılar, grubu modern yazılım dağıtım modelleri bağlamında geliştiricilerin ihtiyaçlarına hizmet etmeye geri döndürmek için finansman modellerinde ve yönetişimde bazı ciddi değişiklikler için yaygara koparıyorlar. Vakfı ve yönetim kurulunu aşağıdakileri yapmaya çağıran beş ana noktadan oluşan bir eylem listesi geliştirdiler:
- OSSF planına referans olarak işaret ederek, kilit girişimlere öncelik veren bir topluluk planı geliştirin
- vakfın yönetişim yapısını “tüm güvenlik topluluğunun ihtiyacını daha iyi yansıtacak” şekilde değiştirin
- özel geliştiricilere, topluluk yöneticilerine ve destek personeline ödeme yapmak üzere 5 milyon doları 10 milyon dolara çıkarmak için agresif bir finansman kampanyası oluşturun
- Toplumun projelerin yükünü hafifletmesi için merkezi altyapı ve hizmetleri iyileştirin
- ürün portföyünün ve yerel bölümlerde olup bitenlerin yönetiminde daha merkezi bir el ele alın
Williams, grubun istediği değişikliklerin “maalesef gerekli” olduğunu düşündüğü için imzaladığını söylüyor.
“OWASP, proje ihtiyaçlarına göre aşağıdan yukarıya inşa edilmiş bir mali plana sahip olmama konusunda bariz bir boşluğa sahip” diyor. “Bunlar olmadan etkili bir şekilde kaynak yaratmak imkansızdır. Agresif bir fon planı yazmak, bazı büyük fon artışlarının peşinden gitmek ve daha agresif projeler üstlenmek, OWASP’ın hızla ilerlemesini sağlamanın tek yoludur.”
Sonraki Adım Gerçekleri
Soru, vakfın ve OWASP topluluğunun bu değişikliklerden bazılarını yapmaya istekli ve bunu yapabilecek durumda olup olmadığıdır. Eski bir OWASP yönetim kurulu üyesi olan Chenxi Wang’a göre, OWASP’ın etkinlikleri yürütmekten fazlasını yapmayan bir organizasyona dönüştüğüne inandığı için teklifte “çok ihtiyaç duyulan” birçok öğe var.
“Ancak diğer bazı maddeler, bir gönüllü kuruluna ve küçük bir işletme kadrosuna sahip olan OWASP için fazla iddialı görünüyor. Örneğin, ‘proje portföyünü ve bölümlerini aktif olarak yönetme’ maddesi, ileriye dönük önemli bir çaba gerektirecektir. vakfın bugünün kaynaklarıyla yapabileceği bir şey olmayabilir” diyor. “Ayrıca, öncelikli projelerin finanse edilmesiyle ilgili teklif, bugünün modelinde bir değişiklik gerektirecek ve daha yeni projeleri haklarından mahrum bırakabilir.”
Ona göre teklif, finansman modelinde, topluluk modelinde ve fonların dağıtılma biçiminde köklü değişiklikler gerektirecek.
Wang, “Bütün bunları tek seferde yapmak çok yıkıcı olacak” diyor. “Aşamalı bir yaklaşım, bunu gerçekleştirmenin tek yolu.”
OWASP Vakfı yönetici direktörü Andrew van der Stock da mektuptaki birçok noktaya katıldığını söylüyor. Mektubun yayınlanmasının ertesi günü vakfın aylık yönetim kurulu toplantısında öneriler sunuldu. Toplantının iyi geçtiğini söylüyor ve yönetim kurulunun güvene dayalı görevlerinin bir parçası olarak yine de önceliklendirilmiş bir plan belirlemesi gerektiğini kabul ediyor.
Mektup hakkında “Sunulduğu şeklin ötesinde, katılmadığımız hiçbir şey yok” diyor. “30 gün içinde bir plan oluşturmanın kesinlikle mümkün olduğunu düşünüyorum. Asıl endişem, projelerin gerçekleştirmemizi istediği bir zaman diliminde beş hedefin tümüne ulaşamamamız.”
Ayrıca, kurulun mevcut tüzüğünün ve OWASP topluluğunun ödeme yapan üyelerinin iradesinin, ortak imzacıların istediği türde yönetim ve finansman değişikliklerine izin verip vermeyeceğini de merak ediyor. Örneğin, OWASP, şu anda koltuklarını kurumsal üyelik yoluyla satın alan ve bu koltukları korumak için önemli ölçüde ödeme yapan üyelerden oluşan bir yönetim kuruluna sahip olan OSSF organizasyonu gibi kurulmamıştır. OWASP’ın şu anda etkinlikler, bölüm toplantıları ve projeler aracılığıyla topluluğa katılan 80.000 kişiye ek olarak yaklaşık 7.000 finansal üyesi vardır. Bu ücretli üyelik, vermek istedikleri desteğin düzeyine bağlı olarak yılda 50 ABD Doları ödeyen bireyleri, 500 ABD Doları ödeyen ömür boyu üyeleri ve 5.000 ABD Doları ve üzeri ödeyen kurumsal sponsorları içerir.
Bu tür değişikliklerin OWASP tüzüğünde bir değişiklik gerektireceğini ekleyen van der Stock, “Topluluğumuzun bu değişikliği destekleyeceğini düşünmüyorum. Bu, biraz gerçekçi olmayacağını düşündüğüm şeylerden biri” diyor. , yaklaşık bir yıl önce orijinal tüzüklerin Delaware Genel Şirketler Yasasına göre geçersiz olduğunun keşfedilmesine yanıt olarak, bir dizi “oldukça standart” kar amacı gütmeyen tüzüğe dönüştürülmenin son aşamalarındadır. Bu rutin prosedür tek başına, genel üyeliğin oylamasını da içeren kapsamlı bir süreci gerektiriyordu.
Yine de van der Stock, yönetim kurulu daha fazla fon sağlamanın bir yolunu bulabilirse OWASP’ın kesinlikle gelişebileceğini söylüyor.
“Yılda 5 ila 10 milyon dolar kazanabilirsek, çok şey başarabiliriz. İnsanların projelerde tam zamanlı çalışmasını sağlayabilirsek, bu şeyler çok daha hızlı ve muhtemelen çok daha kaliteli görünür” diyor. , vakfın şu anda kadrosunda sadece beş çalışanı olduğuna dikkat çekiyor. “Bence gerçekten tek sürtüşme ve itiraz edilebilecek tek şey yönetim modeli. Topluluğumuzun bu konuda söyleyecek çok şeyi olacağını düşünüyorum.”
Williams’ın da endişesi bu.
“Mevcut yönetişim yapıları göz önüne alındığında, OWASP’ın mektuba yanıt veremeyeceğinden endişeleniyorum” diyor.
Ancak Curphey’e göre yönetim kurulu toplantısı, değişim yaratanların önerilerini ortaya koymak ve sonraki adımları değerlendirmek için iyi bir başlangıçtı.
Yönetim kurulu toplantısı olumlu geçti” dedi. “Daha gidilecek çok yol var ama göreceğiz. Başka bir yönetim kurulu toplantısına katılmak için erken ayrılmak zorunda kaldım, ancak ayrıldığımda ilerlemeden ve mevcut yönetim kurulunun uyum sağlama ve değişme arzusundan çok memnun kaldım.”
CISO’lar Neden İlgilenmeli?
CISO’lar ve güvenlik uygulayıcıları için asıl soru, OWASP’taki bu iç çekişmelerden herhangi birinin onlar için gerçekten önemli olup olmadığıdır. Wang’a göre, vakfın bugün aldığı kararlar ve eylemler şu anda CISO’ları doğrudan etkilemeyebilir. Ancak, uzun vadede geliştiricilere yardımcı olmak için sahip olacakları teknoloji seçeneklerini etkileyen uzun vadeli bir dalgalanma etkisi olabilir.
“Bu, ortaya çıkan teknolojilerin daha iyi desteklenmesiyle sonuçlanabilir ve bu da, uygulayıcıların bu teknolojileri benimseme şeklini etkileyebilir” diyor.