Bij het ontwikkelen van een website is het belangrijk rekening te houden met OWASP 10. Wat is het en waarom is het zo belangrijk? In dit artikel leggen we het uit.
Het is nodeloos om te zeggen dat een website zo veilig mogelijk moet zijn. Om dat voor elkaar te krijgen zijn er een heleboel zaken waar je rekening mee moet houden. De zogenoemde OWASP 10 helpt daarbij.
Wat is OWASP?
OWASP staat voor ‘open web application security project’ en is een non-profitorganisatie met als doel de veiligheid van software te verbeteren.
Het is een open community, opgericht in 2001, die organisaties in staat wil stellen om betrouwbare applicaties te bedenken, ontwikkelen, bedienen en onderhouden.
Om dat zo goed mogelijk te doen heeft OWASP een speciale Top 10 (vandaar ‘OWASP 10’) samengesteld. Als je de richtlijnen van deze Top 10 naleeft, dan is het makkelijker om kwetsbaarheden te identificeren en te voorkomen. De OWASP 10 wordt wereldwijd erkend door ontwikkelaars ‘als de eerste stap richting veilig programmeren’.
De lijst wordt voortdurend geüpdatet, met dank aan tienduizenden experts. Daarnaast worden er wereldwijde conferenties gehouden, waar leden het gesprek aan gaan. Alles met als doel om op een open manier zo veilig mogelijk code te ontwikkelen. Leden noemen het zelf vooral een ‘bewustwordingsdocument’.
Video: OWASP in anderhalve minuut
De lijst is vrij omvangrijk en vooral voor programmeurs en ontwikkelaars interessant. Maar ben jij op zoek naar een nieuwe websitebouwer, dan is het wel handig om van het bestaan te weten. Webbureaus en developers die rekening houden met OWASP 10 zijn namelijk doorgaans erg betrouwbaar; het kost namelijk vrij veel tijd om de lijst te doorgronden en na te leven.
Zeker wanneer je gebruikmaakt van een open source contentmanagementsysteem zoals WordPress is OWASP 10 eigenlijk onmisbaar, zoals operationeel manager van Yard | Digital Agency en WordPress specialist Martin Donk in onderstaande podcast nog maar eens benadrukt:
Welnu, wat staat er allemaal precies in die top 10? Voor de leek vrij ingewikkelde zaken als Broken Access Control en Software and Data Integrity Failures. Op de website van OWASP staat bij elk onderdeel een uitgebreide toelichting waarom het een potentieel risico betreft en hoe een mogelijke aanval op je website of platform plaats zou kunnen vinden. En het handige? OWASP geeft zelf direct een aantal preventiemethoden.
Die preventiemethoden zijn vooral relevant voor de webbouwer (bijvoorbeeld Yard | Digital Agency, dus), maar de geoefende informatiemanager kan er ongetwijfeld ook lering uit trekken. De lijst verandert ieder jaar, dus het is slim om ‘m ieder jaar opnieuw even langs te gaan. De wijzigingen zijn (gelukkig) lang niet altijd even groot.
Vragen over OWASP 10 of veiligheid in het algemeen? Stuur onze experts gerust een mailtje en we helpen je zo snel mogelijk verder.
In deze video laat Martin Donk, expert veiligheid WordPress, naast OWASP 10, nog andere veiligheidseisen zien.