La gente de Open Web Application Security Project (OWASP) estan preparando un Framework para evaluar y certificar los sitios web como seguros, en particular sobre los criterios que ellos consideran. El proyecto está todavía en marcha y no estaba listo para la primera ocasion de lanzamiento, pero el objetivo es proporcionar un marco para la certificación de seguridad de un sitio, lo que implica mucho más que el habitual escaneo de vulnerabilidades.
Varias certificaciones comerciales ya existen, incluidos los ScanAlert Hacker's Safe, y ControlScan, que indican que el sitio ha sido escaneado contra vulnerabilidades. Y el Extended Validation SSL (EV SSL), defendido por vendedores de certificados digitales como VeriSign y Cybertrust, ayudan a verificar que el sitio es legítimo.
Pero el iniciar un nuevo marco y nuevos criterios de certificacion que requieren la entrada inmediata de expertos en seguridad de aplicaciones Web, los desarrolladores Web, los sitios de venta, las empresas, e incluso las compañías de tarjetas de crédito, que en la actualidad se centran en conseguir aplicar el PCI Data Security Standard (PCI DSS). Y la adopción de una nueva norma cuestan dinero.
El proyecto OWASP es el bebé de Mark Curphey, que recientemente se a sumado a Microsoft como el jefe del grupo de Servicios de ACE en Europa. "Para los propietarios de los sitios Web es necesario un amplio consenso e impulsar un conjunto de criterios para diseñar, desarrollar, desplegar y mantener condiciones de seguridad en los sitios web", escribe Curphey en la web de OWASP. "Esta reivindicación de los criterios y el cumplimiento de la misma deben ser capaces de ser suministradas a una amplia variedad de interesados, incluidos los clientes, los reguladores y los socios comerciales."
A este proyecto aun le falta en desarrollarse tanto en los ambitos que desean adaptar como en la aceptacion de los administradores de sitios web, pero el objetivo principal es que este Framework de desarrollo se convierta en un estandar de la seguridad de aplicaciones web. Solo falta desearle suerte a OWASP y esperando que hagan el internet mas seguro para todos nosotros.
fuente: OWASP Preps Framework for Website Security Certification
viernes, 19 de octubre de 2007
Suscribirse a:
Enviar comentarios (Atom)
1 comentarios :
hola,
Creo que OWASP es un buen estandar y que se adopte de forma oficial una certificación, puede ayudar a filtrar auditores de OWASP piratas.
Una idea genial!
Slds,
Publicar un comentario