[Owasp-germany] Vorlage für Web Security Standard

Matthias Rohr mail at matthiasrohr.de
Mon Sep 15 07:29:07 UTC 2014


Hallo Zusammen, 

das ist jetzt mein zweiter Versuch diese Mail hier zu versenden, sollten dann trotzdem am Ende doch beide bei Euch ankommen, bitte ich das sehr zu entschuldigen ;)

Doch zur Sache: Als Ergänzung zu meinem bald erscheinendem Buch, habe ich mir mal die Mühe gemacht und eine Vorlage eines Sicherheitsstandards für Webanwendungen erstellt, die ich nun gerne jedem kostenlos als PDF- und Word-Version zur Verfügung stelle:
https://www.secodis.com/tss-web

Das Dokument darf beliebig angepasst (daher auch Word), erweitert, gekürzt und als Grundlage für den Aufbau eines eigenen Standards verwendet werden. Daher habe ich auch bewusst auf ein Copyleft verzichtet. Einzige Bedingung ist auf die verwendete Vorlage entsprechend zu verweisen.

Aus meiner Erfahrung ist es nämlich genau ein solcher implementierungs-übergreifender Standard, der vielen Unternehmen aktuell noch fehlt oder dort zumindest unvollständig vorhanden ist. Gleichzeitig bildet dieser jedoch einen zentralen Baustein, um die Sicherheit von Web- und anderen Anwendungen in Unternehmen nachhaltig zu erhöhen.


Die in dem Dokument beschriebenen Vorgaben (es sind insg. >160) sind natürlich exemplarisch (bzw. allgemeine Empfehlungen aus meiner Sicht) und sollten daher unbedingt nochmal bewertet und ggf. angepasst werden, bevor diese in einem Unternehmen zur Anwendung kommen. Dies betrifft im besonderen die Schwere einzelner Vorgaben (Empfehlung oder Pflicht), Header-Werte  und natürlich genannte Zeitfenster.  

Ein Mapping zur OWASP Top Ten findet sich ebenfalls im Anhang.

Das Dokument besitzt derzeit noch DRAFT-Status. Wenn es einen aus meiner Sicht angemessenen Reifegrad erreicht hat, werde ich daraus ein Release-Dokument machen und dieses dann auch ins Englische übersetzen.

Für Feedback bin ich natürlich wie immer sehr dankbar! Ein neues OWASP-Projekt ist hierfür erstmal nicht geplant.

Viele Grüße

Matthias

 


More information about the Owasp-germany mailing list