开源web应用程序渗透测试社区

Question

我以网络开发为生，但我真正的爱好是安全。我曾与无数的开源web应用程序/框架合作过，我发现其中大多数都存在漏洞。造成这些漏洞的主要原因是开发人员缺乏安全教育。我一直在考虑如何解决这些问题。我的想法是启动一个“开源web应用程序”渗透测试社区。该社区将由志同道合的安全专业人士/狂热者组成。

社区：

• 选择开放源码web应用程序的特定版本，并为其提供1至4周的时间框架(取决于应用程序的大小)。
• 测试应用程序是否存在安全问题。渗透测试+源代码评审。(可能遵循各种OWASP指南)
• 向开放源码组织发出漏洞列表。
• 帮助编写/检查修补程序
• 向开放源码组织提供设计建议和教育材料
• 汇编所有制作的材料，并为教育目的出版。

社区成员可以在规定的时间框架内提交他们的脆弱性。提交的漏洞只对受信任的/参与的成员可见，并且一直隐藏到X(?)在出版前几周。我知道有些人对漏洞披露的看法参差不齐，但我认为好处远远大于缺点(我不想在这里就此展开辩论)。

现在的问题是：

• 这些漏洞应该隐藏多少周？
• 我们应该向开源组织请求许可吗？(是否有任何法律/许可禁止开放源码的受限制？)
• 我们应该邀请一个开源组织的成员从内部监督这个过程吗？(查看提交的漏洞/参加讨论)
• 您认为这样的社区与开源相关吗？

Answer 1

已经有一种向供应商报告漏洞的标准方法。CERT很擅长与供应商联系并缓解这个问题。

我认为你的想法是有帮助的，而且与你的想法和OWASP有很多重叠。您应该在您的区域内查找本地OWASP分支机构。如果一个不存在，做一个！，并使用它作为一个平台为您的车间。OWASP会帮助你把这个词说出来，并吸引更多的人关注你的事业。

Answer 2

我认为最重要的是:做吧！发挥一些领导作用:自己动手做这样的分析吧。这里最大的挑战将是找到自愿的时间来做这样的分析，所以你需要以身作则。不要太担心社区规则、流程或元数据，直到你找到足够多的其他贡献来考虑它。我建议您从假设您可能是执行这些安全评估的唯一贡献者开始，至少在一段时间内。

我根据过去类似工作的经验(例如Crispin Cowan的Sardonix项目)提出这一建议。有关更多细节，请参见克里斯平·考恩的讨论 (“我们举办了一个聚会，没有人来”)、Sardonix失败的原因和由DARPA资助的Linux安全中心。Sardonix就是其形成是为了响应，因为Linux安全审计项目--基于社区的安全审计项目的另一次尝试--没有达到人们的期望。

Answer 3

根据你想要达到的水平，我有三个想法：

• 正如@Rook说的- OWASP使你很容易开始你自己的章节，提供支持，专业知识，甚至一些预算。在某些情况下，你可以得到演讲嘉宾的费用。
• 另一个选项是本地Defcon章节。查看本地的http://www.defcon.org/html/defcon-groups/dc-groups-index.html，或者提供创建本地的。通常有更多的攻击味道，但这绝不是强制性的。
• 如果这两种方法都不适用，那么创建一个本地团队可能是分享信息和专业知识的极好方式。

在它们之后添加邮件列表和/或LinkedIn组也有助于保持它们的活跃和增长。