OpenCRE
3.3 OpenCRE
El Enumeración Común Abierta de Requisitos (OpenCRE) es un catálogo de requisitos de seguridad: enumerando temas de seguridad y proporcionando enlaces a varios estándares, hojas de referencia y guías.
El proyecto de Estándares de Integración de OWASP incluye tanto OpenCRE como Seguridad y el Navegador de Seguridad de Aplicaciones, es un proyecto de documentación de OWASP con estado de producción.
¿Qué es el proyecto de Estándares de Integración?
El proyecto de Estándares de Integración está en el centro de la comunidad de proyectos OWASP; proporciona orientación sobre cómo navegar y utilizar los numerosos proyectos dentro de OWASP. Lo hace de dos maneras, primero está el Navegador de Seguridad de Aplicaciones que proporciona un mapa visual de los proyectos de OWASP más importantes - a agosto de 2024 hay 345 proyectos OWASP por lo que esta es una visualización realmente útil. La segunda es la Enumeración Común Abierta de Requisitos (OpenCRE) que proporciona una referencia consolidada de estándares, hojas de referencias, herramientas y otras enumeraciones (como CWE).
El proyecto de Estándares de Integración también ha producido un informe sobre Fragmentación de Seguridad de Aplicaciones de OWASP sobre OWASP y el Ciclo de Vida de Desarrollo de Software (SDLC) seguro. Esto proporciona una visión general de herramientas y técnicas utilizadas en la mayoría de los SDLC.
¿Qué es OpenCRE?
OpenCRE es un catálogo o enumeración de varios estándares y material de referencia, incluyendo:
- CAPEC
- CWE
- Publicaciones Especiales de NIST 800-53 y 800-63
- OWASP ASVS
- OWASP Top10
- OWASP Controles Proactivos
- OWASP Hojas de Referencia
- OWASP WSTG
- ZAP
El objetivo de este proyecto es ‘Vincular todas las cosas con OpenCRE’, lo que:
- Facilitará a ingenieros, oficiales de seguridad, evaluadores y departamentos de compras encontrar información relevante
- Facilitará a los creadores de estándares crear y mantener referencias
¿Por qué usar OpenCRE?
OpenCRE: ‘Todo organizado’
OpenCRE es una herramienta poderosa que puede proporcionar a los desarrolladores enlaces a muchos recursos, y es fácil de usar. Proporciona un conjunto consolidado de referencias sobre varios términos y dominios de seguridad, y lo crucial es que se mantienen automáticamente actualizados. Proporciona un práctico catálogo de seguridad que se puede buscar para diversos estándares o términos de seguridad.
Además de ser útil para preguntas cotidianas de seguridad, OpenCRE también puede usarse como sección de referencias en documentación; vincular a OpenCRE en lugar de proporcionar una lista de referencias significa que los enlaces se mantienen automáticamente actualizados.
Cómo usar OpenCRE
El catálogo de OpenCRE se puede acceder de formas tradicionales como usar búsquedas o vincular directamente. Por ejemplo, las referencias de OpenCRE a la Enumeración de Debilidades Comunes pueden accederse usando la función de búsqueda o vinculando directamente a un Requisito Común Abierto específico.
OpenCRE también es útil al proporcionar referencias en documentación. OpenCRE puede usarse para estas referencias en lugar de listar varias referencias a un concepto o requisito de seguridad. Esto proporcionará enlaces a estándares, hojas de referencia, herramientas y otras enumeraciones - junto con otras fuentes que se han agregado con el tiempo - y todo se mantiene actualizado. ¡Así que no más enlaces rotos o referencias a versiones desactualizadas! :)
Ahora estamos en la era de los modelos extensos de lenguaje, y OpenCRE ha adoptado esta tecnología. Respuestas inmediatas a preguntas de seguridad o búsquedas pueden proporcionarse por OpenCRE Chat.
Por ejemplo, en respuesta a la pregunta “¿De qué sirve la Guía de Desarrollador de OWASP?” OpenCRE Chat proporciona la siguiente respuesta:
“La Guía de Desarrollador de OWASP proporciona una visión general completa de los riesgos de seguridad de aplicaciones y cómo mitigarlos. Cubre temas como validación de entrada, codificación de salida, prácticas de codificación segura y principios de diseño seguro. La guía es un recurso valioso para desarrolladores que quieren crear aplicaciones seguras.”
Referencias
- OWASP OpenCRE
- Spotlight sobre OpenCRE
- Fragmentación de Seguridad de Aplicaciones de OWASP
- Proyecto de Estándares de Integración de OWASP
- Comprendiendo la Cadena Completa de Seguridad de Aplicaciones Usando OpenCRE org
Traducción de versión original en inglés.
La Guía de Desarrollador OWASP es un esfuerzo comunitario; si hay algo que necesite cambios entonces cree un issue o edítelo en GitHub.