বিষয়বস্তুতে চলুন

ওয়াস্প

উইকিপিডিয়া, মুক্ত বিশ্বকোষ থেকে
OWASP
ওয়াস্প
প্রতিষ্ঠাকাল২০০১[]
প্রতিষ্ঠাতামার্ক কার্ফি[]
ধরন৫০১(সি)(৩) অলাভজনক সংগঠন
আলোকপাতওয়েব নিরাপত্তা, অ্যাপ্লিকেশন নিরাপত্তা, দুর্বলতা মূল্যায়ন
পদ্ধতিশিল্পের মান, সম্মেলন, কর্মশালা
গ্রান্ট অঙ্গার্স, চেয়ার; আভি ডগলেন, ভাইস-চেয়ার; বিল কোরি, কোষাধ্যক্ষ; ম্যাট তেসাউরো, সচিব; গ্লেন টেন কেট, মার্ক কার্ফি, বন্দনা ভার্ম[]
মূল ব্যক্তিত্ব
অ্যান্ড্রু ভ্যান ডের স্টক, নির্বাহী পরিচালক; কেলি সান্টালুসিয়া, ইভেন্টস এবং কর্পোরেট সাপোর্টের পরিচালক; হ্যারল্ড ব্ল্যাঙ্কেনশিপ, পরিচালক প্রকল্প এবং প্রযুক্তি; ডন আইটকেন, অপারেশন ম্যানেজার; লিসা জোন্স, অধ্যায় এবং সদস্যপদ ব্যবস্থাপক; লরেন থমাস, ইভেন্ট সমন্বয়কারী[]
আয় (২০১৭)
হ্রাস $২.৩ মিলিয়ন[]
কর্মী সংখ্যা
০ (২০২০)[]
স্বেচ্ছাকর্মী
আনু. ১৩,০০০ (২০১৭)[]
ওয়েবসাইটowasp.org

ওপেন ওয়ার্ল্ডওয়াইড অ্যাপ্লিকেশন সিকিউরিটি প্রকল্প[] বা ওয়াস্প হল একটি অনলাইন সম্প্রদায় যা ওয়েব অ্যাপ্লিকেশন নিরাপত্তার ক্ষেত্রে অবাধে-উপলভ্য নিবন্ধ, পদ্ধতি, ডকুমেন্টেশন, টুলস এবং প্রযুক্তি তৈরি করে।[][] ওয়াস্প বিনামূল্যে এবং উন্মুক্ত সম্পদ প্রদান করে। এটি ওয়াস্প ফাউন্ডেশন নামে একটি অলাভজনক দ্বারা পরিচালিত হয়। ওয়াস্প টপ টেন - ২০২১ হল ৪০টিরও বেশি অংশীদার সংস্থা থেকে সংকলিত ব্যাপক তথ্যের উপর ভিত্তি করে সাম্প্রতিক গবেষণার প্রকাশিত ফলাফল।

ইতিহাস

[সম্পাদনা]

মার্ক কার্ফি ৯ সেপ্টেম্বর, ২০০১ তারিখে ওয়াস্প শুরু করেছিলেন।[] জেফ উইলিয়ামস ২০০৩ সালের শেষ থেকে সেপ্টেম্বর ২০১১ পর্যন্ত ওয়াস্প-এর স্বেচ্ছাসেবক চেয়ার হিসেবে দায়িত্ব পালন করেন। ২০১৫-এর হিসাব অনুযায়ী , ম্যাট কোন্ডা বোর্ডের সভাপতিত্ব করেন।[১০]

ওয়াস্প ফাউন্ডেশন, ২০০৪ সালে প্রতিষ্ঠিত মার্কিন যুক্তরাষ্ট্রে একটি ৫০১(সি)(৩) অলাভজনক সংস্থা, ওয়াস্প অবকাঠামো এবং প্রকল্পগুলিকে সমর্থন করে৷ ২০১১ সাল থেকে, ওয়াস্প বেলজিয়ামে ওয়াস্প ইউরোপ ভিজেডডব্লিউ নামে একটি অলাভজনক সংস্থা হিসাবেও নিবন্ধিত।[১১]

প্রকাশনা এবং সম্পদ

[সম্পাদনা]
  • ওয়াস্প টপ টেন বা শীর্ষ দশ: ২০০৩ সালে প্রথম প্রকাশিত "টপ টেন", নিয়মিত হালনাগাদ করা হয়।[১২] এটির লক্ষ্য হল সংস্থাগুলির সম্মুখীন হওয়া সবচেয়ে জটিল ঝুঁকিগুলি চিহ্নিত করে অ্যাপ্লিকেশন সুরক্ষা সম্পর্কে সচেতনতা বৃদ্ধি করা৷[১৩][১৪][১৫] অনেক মানদণ্ড, বই, টুলস, এবং অনেক সংস্থা শীর্ষ ১০ প্রকল্পের উল্লেখ করে, যার মধ্যে রয়েছে এমআইটিআরই, পিসিআই ডিএসএস,[১৬] ডিফেন্স ইনফরমেশন সিস্টেম এজেন্সি (DISA-STIG), এবং মার্কিন যুক্তরাষ্ট্র ফেডারেল ট্রেড কমিশন (FTC),[১৭]
  • ওয়াস্প সফটওয়্যার অ্যাসুরেন্স ম্যাচুরিটি মডেল: সফটওয়্যার অ্যাসুরেন্স ম্যাচিউরেন্স মডেল (SAMM) প্রকল্পের লক্ষ্য হল সমস্ত ধরণের সংস্থাকে তাদের সফটওয়্যার নিরাপত্তা ভঙ্গি বিশ্লেষণ এবং উন্নত করার জন্য একটি কার্যকর এবং পরিমাপযোগ্য উপায় প্রদান করা। একটি নমনীয় স্ব-মূল্যায়ন মডেলের মাধ্যমে কীভাবে সুরক্ষিত সফটওয়্যার ডিজাইন, বিকাশ এবং স্থাপন করা যায় সে সম্পর্কে সচেতনতা বাড়ানো এবং সংস্থাগুলিকে শিক্ষিত করা একটি মূল উদ্দেশ্য। এসএএমএম সম্পূর্ণ সফটওয়্যার জীবনচক্রকে সমর্থন করে এবং এটি প্রযুক্তি এবং প্রক্রিয়া অজ্ঞেয়বাদী। এসএএমএম মডেলটি বিবর্তনশীল এবং ঝুঁকি-চালিত প্রকৃতির জন্য ডিজাইন করা হয়েছে, স্বীকার করে যে সমস্ত সংস্থার জন্য কাজ করে এমন কোনও একক রেসিপি নেই।[১৮]
  • ওয়াস্প ডেভেলপমেন্ট গাইড: ডেভেলপমেন্ট গাইড ব্যবহারিক দিকনির্দেশনা প্রদান করে এবং এতে জে২ইই, এএসপি অন্তর্ভুক্ত রয়েছে। নেট, এবং পিএইচপি কোড নমুনা। ডেভেলপমেন্ট গাইডে এসকিউএল ইনজেকশন থেকে আধুনিক উদ্বেগ যেমন ফিশিং, ক্রেডিট কার্ড হ্যান্ডলিং, সেশন ফিক্সেশন, ক্রস-সাইট অনুরোধ জালিয়াতি, সম্মতি এবং গোপনীয়তা সমস্যাগুলির মাধ্যমে অ্যাপ্লিকেশন-স্তরের নিরাপত্তা সমস্যাগুলির একটি বিস্তৃত অ্যারে কভার করে৷
  • ওয়াস্প টেস্টিং গাইড: ওয়াস্প টেস্টিং গাইডে একটি "সর্বোত্তম অনুশীলন" পেনিট্রেশন টেস্টিং ফ্রেমওয়ার্ক রয়েছে যা ব্যবহারকারীরা তাদের নিজস্ব প্রতিষ্ঠানে প্রয়োগ করতে পারে এবং একটি "নিম্ন স্তরের" অনুপ্রবেশ পরীক্ষার নির্দেশিকা যা সর্বাধিক সাধারণ ওয়েব অ্যাপ্লিকেশন এবং ওয়েব পরিষেবা নিরাপত্তা সমস্যাগুলি পরীক্ষা করার কৌশলগুলি বর্ণনা করে৷ সংস্করণ ৪ সেপ্টেম্বর ২০১৪ তারিখে ৬০ জন ব্যক্তির কাছ থেকে ইনপুট সহ প্রকাশিত হয়েছিল।[১৯]
  • ওয়াস্প কোড রিভিউ গাইড: কোড রিভিউ গাইড বর্তমানে রিলিজ সংস্করণ ২.০ এ রয়েছে, যা জুলাই ২০১৭ এ প্রকাশিত হয়েছে।
  • ওয়াস্প অ্যাপ্লিকেশান সিকিউরিটি ভেরিফিকেশন মানদণ্ড (ASVS): অ্যাপ্লিকেশন-লেভেল সিকিউরিটি ভেরিফিকেশন করার জন্য একটি মানদণ্ড।[২০]
  • ওয়াস্প এক্সএমএল সিকিউরিটি গেটওয়ে (XSG) মূল্যায়ন মানদণ্ড প্রকল্প।[২১]
  • ওয়াস্প শীর্ষ ১০ ঘটনা প্রতিক্রিয়া নির্দেশিকা। এই প্রকল্প ঘটনা প্রতিক্রিয়া পরিকল্পনা একটি সক্রিয় পদ্ধতির প্রদান করে. এই নথির উদ্দিষ্ট শ্রোতাদের মধ্যে ব্যবসার মালিক থেকে নিরাপত্তা প্রকৌশলী, বিকাশকারী, অডিট, প্রোগ্রাম ম্যানেজার, আইন প্রয়োগকারী এবং আইনি কাউন্সিল অন্তর্ভুক্ত রয়েছে।[২২]
  • ওয়াস্প জ্যাপ প্রকল্প: জেড অ্যাটাক প্রক্সি (ZAP) হল ওয়েব অ্যাপ্লিকেশনে দুর্বলতা খুঁজে বের করার জন্য সমন্বিত অনুপ্রবেশ টেস্টিং টুল ব্যবহার করা সহজ। ডেভেলপার এবং কার্যকরী পরীক্ষক যারা পেনিট্রেশন টেস্টিং-এর জন্য নতুন তাদের সহ বিস্তৃত নিরাপত্তা অভিজ্ঞতার অধিকারী ব্যক্তিদের ব্যবহার করার জন্য এটি ডিজাইন করা হয়েছে।
  • ওয়েবগোট: নিরাপদ প্রোগ্রামিং অনুশীলনের জন্য নির্দেশিকা হিসাবে ওয়াস্প দ্বারা তৈরি একটি ইচ্ছাকৃতভাবে অনিরাপদ ওয়েব অ্যাপ্লিকেশন।[] একবার ডাউনলোড হয়ে গেলে, অ্যাপ্লিকেশনটি একটি টিউটোরিয়াল এবং বিভিন্ন পাঠের একটি সেট সহ আসে যা শিক্ষার্থীদের নির্দেশ দেয় কীভাবে দুর্বলতাকে কাজে লাগাতে হয় তাদের শেখানোর অভিপ্রায়ে কীভাবে নিরাপদে কোড লিখতে হয়।
  • ওয়াস্প অ্যাপসেক পাইপলাইন: অ্যাপ্লিকেশন সিকিউরিটি (AppSec) রাগেড ডেভঅপ্স পাইপলাইন প্রকল্প হল একটি অ্যাপ্লিকেশন নিরাপত্তা প্রোগ্রামের গতি এবং অটোমেশন বাড়ানোর জন্য প্রয়োজনীয় তথ্য খোঁজার একটি জায়গা। অ্যাপসেক পাইপলাইনগুলি ডেভঅপ্স এবং লীন-এর নীতিগুলি গ্রহণ করে এবং এটি একটি অ্যাপ্লিকেশন সুরক্ষা প্রোগ্রামে প্রয়োগ করে৷[২৩]
  • ওয়াস্প অটোমেটেড থ্রেটস টু ওয়েব অ্যাপ্লিকেশান: প্রকাশিত জুলাই ২০১৫[২৪]- ওয়াস্প অটোমেটেড থ্রেটস টু ওয়েব অ্যাপ্লিকেশান প্রকল্পের লক্ষ্য হল স্থপতি, ডেভেলপার, পরীক্ষক এবং অন্যান্যদের জন্য নিশ্চিত তথ্য এবং অন্যান্য সংস্থান প্রদান করা যাতে স্বয়ংক্রিয় হুমকি যেমন শংসাপত্র স্টাফিংয়ের বিরুদ্ধে রক্ষা করা যায়। প্রকল্পটি ওয়াস্প দ্বারা সংজ্ঞায়িত শীর্ষ ২০টি স্বয়ংক্রিয় হুমকির রূপরেখা দেয়।[২৫]
  • ওয়াস্প এপিআই নিরাপত্তা প্রকল্প: অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (এপিআইস) এর অনন্য দুর্বলতা এবং নিরাপত্তা ঝুঁকি বোঝা এবং প্রশমিত করার জন্য কৌশল এবং সমাধানের উপর দৃষ্টি নিবদ্ধ করে। সর্বাধিক সাম্প্রতিক তালিকা এপিআই নিরাপত্তা শীর্ষ ১০ - ২০১৯ অন্তর্ভুক্ত করে[২৬]

পুরস্কার

[সম্পাদনা]

ওয়াস্প সংস্থাটি ২০১৪ হায়মার্কেট মিডিয়া গ্রুপ ম্যাগাজিনের এডিটরস চয়েস পুরস্কার পেয়েছে।[][২৭]

আরও দেখুন

[সম্পাদনা]

তথ্যসূত্র

[সম্পাদনা]
  1. Huseby, Sverre (২০০৪)। Innocent Code: A Security Wake-Up Call for Web Programmersবিনামূল্যে নিবন্ধন প্রয়োজন। Wiley। পৃষ্ঠা 203আইএসবিএন 0470857447 
  2. "OWASP Foundation Global Board"। OWASP। ১৪ ফেব্রুয়ারি ২০২৩। সংগ্রহের তারিখ ২০ মার্চ ২০২৩ 
  3. "OWASP Foundation Staff"। OWASP। ২১ জানুয়ারি ২০২২। সংগ্রহের তারিখ ৩ মে ২০২২ 
  4. "OWASP FOUNDATION INC"Nonprofit ExplorerProPublica। মে ৯, ২০১৩। সংগ্রহের তারিখ ৮ জানুয়ারি ২০২০ 
  5. "OWASP Foundation's Form 990 for fiscal year ending Dec. 2020"। ২৯ অক্টোবর ২০২১। সংগ্রহের তারিখ ১৮ জানুয়ারি ২০২৩ – ProPublica Nonprofit Explorer-এর মাধ্যমে। 
  6. "OWASP Foundation's Form 990 for fiscal year ending Dec. 2017"। ২৬ অক্টোবর ২০১৮। সংগ্রহের তারিখ ৮ জানুয়ারি ২০২০ – ProPublica Nonprofit Explorer-এর মাধ্যমে। 
  7. "Web" to "Worldwide" Bil Corry on Twitter
  8. "OWASP top 10 vulnerabilities"developerWorks। IBM। ২০ এপ্রিল ২০১৫। সংগ্রহের তারিখ ২৮ নভেম্বর ২০১৫ 
  9. "SC Magazine Awards 2014" (পিডিএফ)। Media.scmagazine.com। সেপ্টেম্বর ২২, ২০১৪ তারিখে মূল (পিডিএফ) থেকে আর্কাইভ করা। সংগ্রহের তারিখ ৩ নভেম্বর ২০১৪ 
  10. Board "সংরক্ষণাগারভুক্ত অনুলিপি"। Archived from the original on সেপ্টেম্বর ১৬, ২০১৭। সংগ্রহের তারিখ মে ২৫, ২০২৩ .
  11. OWASP Europe, OWASP, 2016.
  12. OWASP Top Ten Project on owasp.org
  13. Trevathan, Matt (১ অক্টোবর ২০১৫)। "Seven Best Practices for Internet of Things"Database and Network Journal। ২৮ নভেম্বর ২০১৫ তারিখে মূল থেকে আর্কাইভ করা। 
  14. Crosman, Penny (২৪ জুলাই ২০১৫)। "Leaky Bank Websites Let Clickjacking, Other Threats Seep In"American Banker। ২৮ নভেম্বর ২০১৫ তারিখে মূল থেকে আর্কাইভ করা। 
  15. Pauli, Darren (৪ ডিসেম্বর ২০১৫)। "Infosec bods rate app languages; find Java 'king', put PHP in bin"The Register। সংগ্রহের তারিখ ৪ ডিসেম্বর ২০১৫ 
  16. "Payment Card Industry (PCI) Data Security Standard" (পিডিএফ)। PCI Security Standards Council। নভেম্বর ২০১৩। পৃষ্ঠা 55। সংগ্রহের তারিখ ৩ ডিসেম্বর ২০১৫ 
  17. "Open Web Application Security Project Top 10 (OWASP Top 10)"Synopsys। Synopsys, Inc। ২০১৭। সংগ্রহের তারিখ ২০১৭-০৭-২০Many entities including the PCI Security Standards Council, National Institute of Standards and Technology (NIST), and the Federal Trade Commission (FTC) regularly reference the OWASP Top 10 as an integral guide for mitigating Web application vulnerabilities and meeting compliance initiatives. 
  18. "What is OWASP SAMM?"OWASP SAMM। সংগ্রহের তারিখ ২০২২-১১-০৬ 
  19. Pauli, Darren (১৮ সেপ্টেম্বর ২০১৪)। "Comprehensive guide to obliterating web apps published"The Register। সংগ্রহের তারিখ ২৮ নভেম্বর ২০১৫ 
  20. Baar, Hans; Smulters, Andre (২০১৫)। Foundations of Information Security Based on ISO27001 and ISO27002 (3 সংস্করণ)। Van Haren। পৃষ্ঠা 144। আইএসবিএন 9789401800129 
  21. "Category:OWASP XML Security Gateway Evaluation Criteria Project Latest"। Owasp.org। নভেম্বর ৩, ২০১৪ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ নভেম্বর ৩, ২০১৪ 
  22. "OWASP Incident Response Project - OWASP"। এপ্রিল ৬, ২০১৯ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ডিসেম্বর ১২, ২০১৫ 
  23. "OWASP AppSec Pipeline"Open Web Application Security Project (OWASP)। ১৮ জানুয়ারি ২০২০ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৬ ফেব্রুয়ারি ২০১৭ 
  24. "AUTOMATED THREATS to Web applications" (পিডিএফ)। OWASP। জুলাই ২০১৫। 
  25. The list of automated threat events
  26. "OWASP API Security Project - API Security Top 10 2019"OWASP 
  27. "Winners | SC Magazine Awards"। Awards.scmagazine.com। আগস্ট ২০, ২০১৪ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৪-০৭-১৭Editor's Choice [...] Winner: OWASP Foundation 

বহিঃসংযোগ

[সম্পাদনা]