Appsec标准组织？

Question

我是一名Java开发人员，我想知道是否有人有过OWASP项目的经验，并且可以考虑它作为一个安全标准组织是如何衡量的。他们有一个庞大的网站，里面有大量的文档、子项目、框架/APIs等等，我只想在我开始从底层开始学习之前，确保他们得到了良好的评价。我不想在接下来的几周里花时间和精力在这群人身上，结果发现不管出于什么原因，他们都不可信。

还有其他项目机构也是开源的，我也应该考虑吗？

Answer 1

OWASP本身确实有大量的项目，有些项目比其他项目更成熟。作为一个组织，OWASP确实有一些已经在全球范围内被接受的关键计划，所以你不会是唯一选择学习更多的人。

我的主要市场包括全球银行和其他金融服务机构，以及石油和天然气等其他行业，除了PCI-DSS、ISO 27001等标准外，它们网络安全团队的单一事实上的标准是OWASP十大。

ESAPI在IT安全领域以及其他几个领域也被广泛使用。

Answer 2

官方的“标准”在很大程度上独立于实际的bug，而是专注于处理bug的“过程”。例如，它们通常没有提到诸如"SQL注入“这样的特定内容。

OWASP正好相反。它都是关于十大最常见的问题，但你可能使用的过程，以解决它们。

当然，有相当多的重叠，但这是总的想法。