Skip to content

0x02 foreword

Avant Propos

Les logiciels non sécurisés sapent nos infrastructures financières, de santé, de défense, d'énergie et de toute autres sortes. Au fur et à mesure que les logiciels deviennent de plus en plus complexes et connectés, la difficulté à atteindre un niveau de sécurité satisfaisant augmente de façon exponentielle. La cadence rapide du développement moderne de logiciels rend le moindre risque indispensable à identifier et à résoudre de la façon la plus rapide et précise qui soit. Nous ne pouvons plus nous permettre de tolérer des problèmes de sécurité simplistes tels que ceux présentés au sein de l'OWASP Top 10.

Un grand nombre de remarques ont été reçues au cours de la création de l'OWASP Top 10 - 2017, plus que lors de n'importe autre travail de l'OWASP. Cela montre à quel point la communauté entretient une réelle passion pour l'OWASP Top 10 et donc à quel point il est essentiel pour l'OWASP d'avoir raison dans la majorité des cas d'utilisation.

Bien que le but original du projet OWASP Top 10 fut simplement de sensibiliser les développeurs et les managers, il est devenu, dans les faits, le standard de la sécurité des applications.

Dans cette release, les problèmes et les recommandations sont écrits de façon concises et facilement testables afin de faciliter l'adoption de l'OWASP Top 10 au sein de tout type de programmes de sécurité d'applications. Nous encourageons les grandes organisations performantes d'utiliser l'OWASP Application Security Verification Standard (ASVS) si un réel standard est requis, mais dans la plupart des cas, l'OWASP Top 10 est un bon début dans la mise en place d'une politique de sécurité des applications.

Nous avons écrit un éventail de potentielles prochaines étapes pour différents types d'utilisateurs de l'OWASP Top 10, incluant notamment "Que faire ensuite pour les Développeurs", "Que faire ensuite pour les Testeurs en Sécurité", "Que faire ensuite pour les Organisations", qui est tout à fait approprié pour les DSI et les RSSI, et "Que faire ensuite pour les Managers d'Applications", qui est approprié pour les managers d'applications mais également pour toute personne responsable d'une application durant son cycle de vie .

Sur le long terme, nous encourageons toutes les équipes de développement logiciel et les organisations a créer un programme de sécurité compatible avec notre culture et notre technologie. Ces programmes peuvent prendre toutes sortes de formes et de tailles. Nous vous encourageons également à tirer profit des avantages actuels de votre organisation pour mesurer et à améliorer votre programme de sécurité en utilisant le Modèle d'Assurance de Maturité Logiciel.

Nous espérons que l'OWASP Top 10 sera utile dans vos efforts de sécurisation de vos applications. N'hésitez pas à contacter l'OWASP pour toutes questions, commentaires, idées par le biais de notre dépôt Github :

Vous trouverez le projet OWASP Top 10 ainsi que ses traductions à l'adresse suivante:

Enfin, nous souhaitons remercier les membres fondateurs du projet OWASP Top 10, Dave Wichers et Jeff Williams, pour tous leurs efforts, et leur soutien sans faille en nous pour finir ce projet avec l'aide de la communauté. Merci!

  • Andrew van der Stock
  • Brian Glas
  • Neil Smithline
  • Torsten Gigler

Attribution

Merci à Autodesk pour son parrainage de l'OWASP Top 10 - 2017

Les organisations et les personnes qui ont fourni les données à propos de la fréquence des vulnérabilités ou tout autre type d'assistance sont dans la page de remerciements.