OWASP Top 10
Deutsche Übersetzung erschienen
Das Open Web Application Security Project (OWASP) hatte Ende 2017 seine OWASP Top 10 aktualisiert (wir berichteten). Gestern wurde beim German OWASP Day 2018 in Münster die deutsche Übersetzung vorgestellt.
OWASP Top 10 – der De-Facto-Standard
Die OWASP Top 10-Liste hat sich seit 2003 zum De-Facto-Standard bei der Klassifizierung von Sicherheitsrisiken in Webanwendungen entwickelt. Seit letztem Jahr ersetzt die 2017er Version den Vorgänger aus dem Jahr 2013.
Die Übersicht zeigt die Auf- und Absteiger und die Neuzugänge zur OWASP Top 10 im Vergleich der Versionen von 2013 und 2017.
Das German Chapter der OWASP hat nun die deutsche Übersetzung veröffentlicht. Über die inhaltlichen Neuerungen hatten wir bereits in einem früheren Beitrag berichtet.
„Die Top 10 bestehen nicht nur aus 10 Seiten, sondern aus 24.“
Torsten Gigler
Leiter des Übersetzungsteams
Torsten Gigler war es bei der Vorstellung der Übersetzung wichtig zu betonen, dass die OWASP Top 10 nicht nur auf die zehn Seiten mit den Top 10 selbst beschränkt sind. Insbesondere hob er die Folgeseiten +E, +T, +O und +A hervor. Diese enthalten Nächste Schritte für…
Auch wir waren an der Übersetzung der OWASP Top 10 beteiligt. Neben dem CycleSEC-Gründer Sebastian Klipper hat auch Louisa Frick mitgewirkt, die seit Juni als Junior-Consultant zum CycleSEC-Team gehört.
„Die OWASP Top 10 bieten Einsteigern sowie Fortgeschrittenen einen wertvollen Überblick über die wichtigsten Softwareschwachstellen im Web-Umfeld. Jede Schwachstelle wird zunächst verständlich erklärt, während zahlreiche Links zu weiteren Quellen dabei helfen, die Schwachstellen in eigenen Anwendungen zu vermeiden.“
Louisa Frick
CycleSEC Junior Consultant (Trainee)
Louisa Frick war für CycleSEC an der deutschen Übersetzung beteiligt.
Laut Gigler sollen die Top 10 mittel- bis langfristig dazu beitragen, „Security-by-Default“ zu erreichen. Die Top 10 versteht er dabei als Projekt, das dazu beitragen soll, Anwendungen mit anderen Augen zu sehen.
Unterschiede der Versionen
Die deutsche Version unterscheidet sich nur unwesentlich von der englischen Version und ist im Wesentlichen eine wörtliche Übersetzung. In einigen Teilen gibt es aber auch spannende Unterschiede, die man kennen sollte.
„Die deutsche Version der OWASP Top 10 war eine Herausforderung, dem Ziel und dem Geist der Top 10 in deutscher Sprache gerecht zu werden. Hierbei wurden bei Bedarf auch kleinere Präzisierungen vorgenommen, die das Verständnis erleichtern.“
Vorwort zur deutschen Übersetzung
So verwendet man zum Beispiel abweichende Bezeichnungen für die verschiedenen Arten von Cross-Site-Scriptings (XSS):
| Englisch: | Deutsch: |
|---|---|
| Reflected XSS | Nicht-persistentes/ reflektiertes XSS |
| Stored XSS | Persistentes XSS |
| DOM XSS | DOM-basiertes (lokales) XSS |
Es lohnt sich also durchaus, deutsche und englische Version nebeneinander zu legen und die Details zu vergleichen. Das PDF zur deutschen Version der OWASP Top 10 finden Sie unter https://www.owasp.org/….
Update zu unseren Trainings
Die Seiten zu unserem Angebot zu Trainings und zum Consulting rund um das Thema sichere Softwareentwicklung wurden zwischenzeitlich angepasst.
