OWASP
OWASP (Open Web Application Security Project) es una fundación sin ánimo de lucro dedicada a mejorar la seguridad del software, que publica el famoso "OWASP Top 10" con los riesgos más críticos en aplicaciones web, además de guías, estándares (ASVS) y herramientas open source como ZAP.
Qué es OWASP
OWASP (Open Web Application Security Project) es una fundación dedicada a mejorar la seguridad del software. Su producto más famoso, OWASP Top 10, lista los riesgos más críticos en aplicaciones web, actualizado cada pocos años.
Cómo funciona
OWASP Top 10 (2021): Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, Vulnerable Components, Identity/Auth Failures, Software/Data Integrity Failures, SSRF, Logging Failures.
Cómo protegerte
Para desarrolladores: el OWASP Top 10 es lectura obligada. OWASP también publica ZAP (escáner gratuito), guías de cheatsheets, ASVS (estándar de verificación), SAMM (modelo de madurez).
Datos curiosos
- Fundada en 2001.
- OWASP ZAP es uno de los escáneres web más usados (gratuito).
- OWASP también publica Top 10 para móvil, APIs, LLMs (IA).
Preguntas frecuentes
¿Es solo para web?
Originalmente sí. Hoy hay Top 10 específicos para móvil, APIs, IoT, LLMs.
¿Cómo lo aplico?
Desarrolladores: revisar cada riesgo en su app. Empresas: incluir OWASP en revisiones de seguridad.
¿Recursos gratuitos?
Todo OWASP es gratis: documentación, herramientas, formación. owasp.org.