[Owasp-turkey] Web Güvenliği Kontrol Listesi - 2011 Çalışmasına Katkı Çağrısı

Bunyamin Demir bunyamindemir at gmail.com
Mon Nov 14 17:24:02 EST 2011


Merhabalar Arkadaslar,

Geçen yıl ilk defa duyurmuş olduğumuz "Web Güvenliği Kontrol Listesi" için
bir çalışma yapmaktayız. Öncelikle ilk çalışmayı bir gözden geçirmenizi
rica edeceğim.

http://www.webguvenligi.org/docs/web_uygulama_guvenligi_kontrol_listesi_2010.pdf

Eski çalışma üzerine yaklaşık iki aydır bir güncelleme
gerçekleştirmekteyiz. Bu güncelleme sonucu; eski döküman da olan "Etki"
bilgisini kaldırmaya karar verdik. Zira araç ve sonuç karmaşasına sebep
olmaktaydı. "Etki" yerine ASVS (Application Security Verification Standart,
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project)
projesini kullanmaya karar verdik. Dolayısıyla kontrol listesindeki her bir
madde, ASVS dökümanındaki kategorilerle adreslenmiştir. Bununla birlikte
daha önce kullandığımız "Kategoriler" de güncellenmiş oldu.
Kategorilerimizi OWASP Testing Guide v3 göre revize ettik.

Eski maddeler üzerinde daha açıklayıcı olacağını düşündüğümüz düzeltmeleri
gerçekleştirdik. Aynı zamanda "YENİ" olarak belirttiğimiz maddeleri
ekledik. Bu maddeler, sizlerden gelen mailler ve yorumların
değerlendirilmesi sonucu ortaya çıkmıştır.

Buraya kadar olan kısmı WGT ekibi olarak tamamladık ve sizlerin de görüş ve
önerilerinizi alma noktasına geldik. Bu çalışmamızın amacını belirlemek
gerekirse; daha çok denetleyicinin uygulama güvenliğine bakış açısını baz
aldık. Dolayısıyla eklenen maddeleri bir denetçi ekliyormuş/kontrol
ediyormuş gibi değerlendirmek gerekecektir.

Bu çalışmaya katılacak arkadaşların aşağıda belirtilen kurallara uymalarını
önemle rica edeceğiz.

Web Güvenliği Kontrol Listesi 2011 Taslak -
http://tinyurl.com/owasptrappseclist

1) "Aktüel Kontroller" kısmında değişiklik yapmayalım. Zira bu her zaman
"Kontrol Listesinin" son halini resmedecektir.
2) "Meta Bilgiler" dökümanı oluştururken kullandığımız "Kategoriler",
"ASVS", "Sorumlu" ve "Seviye" bilgilerini tutmaktadır ve değişiklik
olmamasını ön görüyoruz.
3) "Yeni Kontroller" mevcut listede bulunmayan ama eklenmesini ön
gördüğünüz kontrolleri buraya yazabilirsiniz. Bu yazım esnasında kontrolün
"Kategori", "ASVS", "Sorumlu" ve "Etki" alanlarının doldurulması da zorunlu
değildir. Mühim olan yeni eklenecek kontrolün ne olduğunun belirtilmesidir.
4) "Kontrol Değişikliği" mevcut listede bulunan ama değiştirilmesinin uygun
olduğunu düşündüğünüz kontrolleri buraya yazabilirsiniz.
5) "Kaynak Belgeler" dökümanın hazırlanması esnasında kullanılan belge ve
linkleri barındırır. İlaveler yapabilirsiniz.

Zamanlama konusunda ise; 1 Aralık için bir Skype meeting yapalım diyoruz.
Bu sayede kontrol değişikliği ve yeni kontrolleri tartışıyor olacağız.
Ardından düzeltmeler ve yeni gelecek talepler ile 15 Aralık itibari ile
dökümanı kapatıyor olacağız. Yılbaşı itibari ile de yayınlamayı ön
görüyoruz.

Bir topluluk ile birlikte yapılacak olan güzel bir çalışma olacağına
inanıyoruz. Çok değerli katkılarınız için şimdiden çok teşekkür ederim.

Saygılarımla,

-- 
Bünyamin Demir
OWASP-Turkey Chapter Lead
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20111115/64ba2810/attachment.html 


More information about the Owasp-turkey mailing list