OWASP 简介

OWASP 是 Open Web Application Security Project 的简称，是一个世界范围的专注软件安全的非营利组织，OWASP 于 2004 年 4 月 21 日在美国建立，是一个国际组织，OWASP 基金会负责支持世界各地的活动。OWASP 是一个开放的社区，致力于使组织能够构思、开发、运转和维护可以被信任的应用程序。所有 OWASP 的工具、文档、论坛都是免费的，对任何有兴趣改进应用程序安全的人员都是开放的。OWASP 提倡着手人员、过程和技术问题的处理，因为改进这几个方面才是最有效的提高应用程序安全的方法。所有的材料都可以通过 www.owasp.org 来得到。

OWASP 是一个新型组织，没有商业压力使得 OWASP 能够提供无偏见、实用、低成本的应用安全方面的信息。尽管 OWASP 支持合理使用商业的安全技术，但是 OWASP 不隶属于任何技术公司。和许多开源软件项目一样，OWASP 以一种协作、开放的方式制作了许多不同种类的材料。

目前，OWASP 已经被很多组织和政府推荐使用，包括美国、加拿大、英国、法国等国家的政府和组织。

1．核心价值

• “Open”: OWASP 的所有一切，从财务到代码都是透明的。

• “INNOVATION”: OWASP 鼓励和支持针对软件安全问题解决的创新和实践。

• “GLOBAL”:在世界上的任何一个角落的人都可以参加 OWASP 社区。

• “INTEGRITY”: OWASP 是一个可靠的、诚实的、与厂商无关的全球社区。

2．核心目标

成为一个驱动世界软件的安全发展的兴旺的全球社区。

3．道德规范

社区的每一位成员都要遵守下面列出的道德规范。违反道德规范可能会受到基金会的纪律处罚。道德规范如下:

• 根据所有使用的法律和最高的伦理原则执行所有的专业的活动和责任。

• 促进实施和促进遵守标准、过程、控制应用程序的安全性。

• 在专业的活动过程中对遇到的信息和信息的所有者保持适当的保密。

• 免除在勤奋和诚实条件下的专业责任。

• 开放诚实地沟通。

• 避免任何可能构成利益冲突或者损坏雇主的声誉、信息安全职业或者协会的活动。

• 维护和确认我们的客观性和独立性。

• 拒绝来自行业或者其他方面的不当压力。

• 不故意伤害或者怀疑同事、客户和雇主的专业实践方面的名誉。

• 尊重每一个人。

• 避免损害或者可能损害 OWASP 客观性和独立性的人际关系。

4．原则

• 自由公开。

• 通过大致共识和已经运行的代码管理。

• 遵守道德规范。

• 非营利。

• 不出于商业利益。

• 基于风险。

①　200 多本网络安全系列电子书

②　网络安全标准题库资料

③　项目源码

④　网络安全基础入门、Linux、web 安全、攻防方面的视频

⑤　网络安全学习路线

⑥　👉戳此白嫖