Mellékleteink: Unix / Linux | Gamekapocs
Keres
Mit kell tudni az OpenSSL problémáról? Április 24-én, az App!free-n erről is beszélünk.

Az alkalmazásbiztonságra hívja fel a figyelmet a hazai OWASP

Gálffy Csaba, 2012. november 29. 14:10

Se a beszállítók, se a megrendelők nem helyeznek jelenleg megfelelő hangsúlyt a biztonságos alkalmazásfejlesztésre. Ezen változtatna a hazai OWASP-tagozat, a piac edukációjával és a szakemberek képzésével, összefogásával.

hirdetés

Megalakult az OWASP (Open Web Application Security Project) hazai tagozata, köszönhetően néhány merész önkéntesnek. A magyar tagozat alapítói az alkalmazások biztonságossá tételére, biztonságos fejlesztésére hívnák fel a fejlesztők és a megrendelők figyelmét egyaránt. A felmérések szerint jelenleg a biztonsági költségvetések elsöprő arányát költik a cégek határvédelemre, miközben a támadásoknak már 80 százaléka az alkalmazásokat, a szoftverekben hagyott réseket célozza és nem a hagyományos hálózati infrastruktúrán keresztül érkezik.

Biztonságos fejlesztés - jó befektetés

Nemzetközi szinten már a biztonsági büdzsék 20 százalékát fordítják a cégek alkalmazásbiztonságra, elsősorban etikus hackingre, de egyre nagyobb részt kap a preventív, a fejlesztési folyamatok, eszközök, képzés oldalán történő befektetés is. Az alkalmazásbiztonság Magyarországon ma nem éri el a biztonsági költségvetések 5 százalékát sem, amivel messze elmarad az ideálistól, de a fejlettebb országoktól is. Ezen változtatna a hazai OWASP-kezdeményezés, amely két fő célt tűzött ki maga elé.

A hazai tagozat rövid távon a piac edukációjára, a figyelem felhívására helyezné a hangsúlyt. Ennek keretében egyik első lépésként IT-döntéshozók megkérdezésével szeretnének hazai adatokon alapuló felmérést végezni, amely azt vizsgálná, hogy milyen költségvonzatai lehetnek az alkalmazásbiztonság elhanyagolásának és mennyibe kerül ezzel szemben a kezdetektől biztonságos fejlesztés, így fontos, helyi relevanciájú érvhez jutna a mozgalom. A második cél létrehozni egy hazai tudásközpontot, ahol az érdeklődők és tagok elsajátíthatják a biztonságos programozáshoz szükséges ismereteket, kicserélhetik egymással tapasztalataikat, kidolgozhaznak "best practice"-eket. Ennek megfelelően magyar OWASP rendszeres képzéseket, konferenciákat szervez majd a témában és fontos szakmai fórummá nőné ki magát.

A biztonságnak ára van

Az OWASP által hirdetett biztonságos alkalmazásfejlesztés minőségibb, így drágább szoftvereket is jelent. A beszállítók számára az új fejlesztési folyamatok implementálása, az alkalmazottak képzése, esetenként új fejlesztői eszközök beszerzése jelentős költségeket okozhat, a biztonságos fejlesztés által megkövetelt további tesztelés miatt pedig az ilyen szoftverek költségei hosszabb távon is magasabbak maradnak. A különbséget a hazai OWASP-alapítók mintegy 10-15 százalékra teszik, ahogy azonban sok más minőségi különbség, a biztonságosabb szoftver megkövetelése (és megfizetése) is hasznos befektetés, hosszú távon pedig megtérülés lehet a megrendelő oldalán.

A cél tehát elsősorban a megrendelők figyelmének felhívása erre a tényezőre, ettől az alapítók azt remélik, hogy lassan kialakul a hazai piacon is a kereslet a biztonságosabb szoftverek iránt. Ha a kereslet megvan, a kínálat is gyorsan hozzáalakul, ez pedig a biztonsági szakemberek elemi érdeke - többek között az OWASP hazai tagozatának berúgását magukra vállaló Cloudbreaker biztonságtechnikai startup tagjaié is.

Megérett a magyar piac

A cloudbreakeres srácok nem az elsők, akik hazai OWASP-tagozatot szerettek volna alapítani, a nemzetközi szervezettel való kapcsolatfelvétel után derült ki, hogy az elmúlt években több hullámban már mások is próbálkoztak ezzel, sikertelenül. A kudarc oka az lehetett, hogy a hazai IT-biztonság egyszerűen nem volt elég érett az újabb nézőpont befogadására, a fórum körül nem alakult ki megfelelő nagyságú közösség. Az idei próbálkozás azonban már jól indult, a tegnapi első, még inkább informális találkozón a hazai biztonsági szakma jelentős része képviseltette magát, a nagyobb konferenciák szervezőitől a kisebb-nagyobb biztonsági cégekig.

A kezdeményezés egyelőre a közösség kialakításán fáradozik, emiatt egyelőre a magyar OWASP-nak bejegyzett jogi személyisége sincs, ahogy formális csatlakozásra, tagságra sincs lehetőség. A nagy érdeklődés és a pozitív visszajelzések nyomán azonban heteken-hónapokon beindulhat a közösségi munka és kialakulhat egy sikeres specializált IT-fórum Magyarországon.

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Egy kis türelmet kérünk, töltjük a kommenteket...

Új komment írásához be kell jelentkezned!

A Fórumos azonosítódat is használhatod.

Ha még nem vagy tagunk, regisztrálj! Csak 2 perc az egész.

Tipp #1: több formázási lehetőséged van, ha a Fórumban szólsz hozzá a témához!
Tipp #2: készítettünk egy gyűjtőoldalt, ahol az összes friss kommentet megtekintheted.