Was kommt als Nächstes für Entwickler?
Die Aufgabe, sichere Software zu erstellen und zu pflegen oder bestehende Software zu reparieren, kann schwierig sein. Bei APIs ist das nicht anders.
Wir glauben, dass Fortbildung und Bewusstsein die Schlüsselfaktoren für das Schreiben sicherer Software sind. Alles andere, was erforderlich ist, um das Ziel zu erreichen, hängt ab von Einführung und Verwendung von wiederholbaren Sicherheitsprozessen und standardisierten Sicherheitskontrollen.
OWASP hat seit Beginn des Projekts zahlreiche freie und offene Ressourcen zum Thema Sicherheit vorgestellt. Bitte besuchen Sie die OWASP-Projektseite für eine umfassende Liste der verfügbaren Projekte.
Bildung | Sie können je nach Beruf und Interesse mit dem Lesen von OWASP Education Project materials beginnen. Für praktisches Lernen haben wir crAPI - Completely Ridiculous API auf unsere Roadmap gesetzt. In der Zwischenzeit können Sie WebAppSec mit dem OWASP DevSlop Pixi Module üben, einem verwundbaren WebApp- und API-Service, der Benutzern beibringen soll, wie man moderne Webanwendungen und APIs auf Sicherheitsprobleme testet und wie man in Zukunft sicherere APIs schreibt. Sie können auch an den Schulungssitzungen der OWASP AppSec Conference teilnehmen oder Ihrem lokalen Verband beitreten. |
Sicherheitsanforderungen | Sicherheit sollte von Anfang an Teil eines jeden Projekts sein. Bei der Anforderungserhebung ist es wichtig zu definieren, was "sicher" für dieses Projekt bedeutet. OWASP empfiehlt, den OWASP Application Security Verification Standard (ASVS) als Leitfaden für die Festlegung der Sicherheitsanforderungen zu verwenden. Wenn Sie ein Projekt auslagern, sollten Sie den OWASP Secure Software Contract Annex verwenden, der entsprechend den lokalen Gesetzen und Vorschriften angepasst werden sollte. |
Sicherheitsarchitektur | Sicherheit sollte während aller Projektphasen ein Thema bleiben. Die OWASP Prevention Cheat Sheets sind ein guter Ausgangspunkt für Anleitungen, wie man Sicherheit schon in der Architekturphase einplant. Unter vielen anderen finden Sie das REST Security Cheat Sheet und das REST Assessment Cheat Sheet. |
Standard-Sicherheitskontrollen | Die Übernahme von Standard-Sicherheitskontrollen verringert das Risiko, beim Schreiben Ihrer eigenen Logik Sicherheitslücken einzuführen. Trotz der Tatsache, dass viele moderne Frameworks mittlerweile über eingebaute effektive Standardkontrollen verfügen, gibt OWASP Proactive Controls einen guten Überblick darüber, welche Sicherheitskontrollen Sie in Ihr Projekt einbauen sollten. OWASP stellt auch einige Bibliotheken und Tools zur Verfügung, die für Sie nützlich sein können, wie z.B. Validierungskontrollen. |
Secure Software Development Life Cycle | Sie können das OWASP Software Assurance Maturity Model (SAMM) verwenden, um den Prozess bei der Erstellung von APIs zu verbessern. Mehrere andere OWASP-Projekte stehen zur Verfügung, um Sie in den verschiedenen Phasen der API-Entwicklung zu unterstützen, z. B. das OWASP Code Review Project. |