Category:OWASP Honeycomb Project/es

Descripción
En el proyecto Panal, OWASP esta ensamblando la guía mas completa e integrada que se haya intentando para los bloques de construcción fundamentales de seguridad en aplicaciones (principios, amenazas, ataques, vulnerabilidades, y contramedidas) a través esfuerzos colaborativos de la comunidad.

OWASP ha estado lidiando constantemente con este problema desde 2000, a través de proyectos como VulnXML, WAS-XML, Top Ten, WebScarab, WebGoat, Proyecto “Testing”, La Guía, y otros. Al mismo tiempo, los miembros de OWASP han trabajdo duro asegurando las aplicaciones más importantes en el mundo. Estamos intentando llevar nuestra experiencia práctica a esta difícil área.

Aunque ya hay una gran cantidad de información aquí, apenas estamos empezando con este proyecto. Necesitamos voluntarios que nos ayuden a completar artículos, categorizar artículos apropiadamente, eliminar duplicados, y más. Puede ver el Mapa del Proyecto Panal de OWASP para encontrar en que se esta trabajando y como puede ayudar.

Organización
La información de seguridad en aplicaciones no puede ser organizada en una taxonomía unidimensional. Hemos adoptado el enfoque folcsonomía para resolver este problema. Simplemente etiquetamos nuestros artículos con varias categorías diferentes. Puede usar estás categorías para ayudar a obtener diferentes vistas en complejo, interconectado conjunto de temas que es seguridad en aplicaciones.

El esquema de etiquetado no tiene una jerarquía simple, no obstante. Las principales categorías son:


 * Principios
 * Agentes de Amenaza
 * Vulnerabilidades
 * Ataques
 * Contramedidas
 * Impactos Técnico
 * Impactos de Negocio

Cada una de estas categorías puede tener subcategorías. Por ejemplo, hay una categoría general Vulnerabilidad para todos los artículos que describen una vulnerabilidad, como los listados abajo:


 * Categoria:Abuso de API
 * Categoria:Vulnerabilidad de Control de Acceso
 * Categoria:Vulnerabilidad de Autenticación
 * Categoria:Vulnerabilidad de Permiso de Código
 * Categoria:Vulnerabilidad de calidad de Código
 * Categoria:Vulnerabilidad Criptográfica
 * Categoria:Vulnerabilidad Ambiental
 * Categoria:Vulnerabilidad de manejo de Error
 * Categoria:Vulnerabilidad General de Lógica de Error
 * Categoria:Vulnerabilidad de Validación de Entradas
 * Categoria:Vulnerabilidad de Registro y Auditoría
 * Categoria:Vulnerabilidad de Administración de Contraseña
 * Categoria:Vulnarabilidad de Ruta
 * Categoria:Errores de Protocolo
 * Categoria:Vulnerabilidades de Error de Rango y Tipo
 * Categoria:Vulnerabilidad de Protección de Datos Sensibles
 * Categoria:Vulnerabilidad de Manejo de Sesión
 * Categoria:Vulnerabilidad de Sincronización y Cálculo
 * Categoria:Código Móvil Inseguro
 * Categoria:Uso de API Peligroso

Antecendes
¿Que estamos intentando lograr?

Nuestro supuesto básico es que nunca seremos capace de lograr progreso en seguridad en aplicaciones sin unos bloques básicos de construcción. Hemos identificado principios, amenazas, vulnerabilidades, ataques, and contramedidas como los fundamentos en la mayoría de las actividades de seguridad en aplicaciones. Así que hemos establecido para capturar todos los nombres comunes usados en estas áreas, recogiendo toda la información que podemos acerca de cada una, e inter ligándolas de una manera significativa.

Las dificultades para organizer esta información

La mayoría de los esfuerzos de organización de información de seguridad en aplicaciones intentan forzar la información en una taxonomía unidimensional de un modo u otro. Estos esfuerzos (incluyendo el Top Ten de OWASP) han fallado en adecuadamente hacer la información útil. Intentar simplificar seguridad en aplicaciones en una taxonomía unidimensional hace la información inútil para muchas tareas críticas.

El enfoque que hemos adoptado

Hemos decidido aplicar la folcsonomía popularizado recientemente para organizar la información con muchas relaciones complejas. Así que cada uno de los principales tipos de bloques de construcción tiene su propia ‘etiqueta’ (llamada ‘categoría’ en MediaWiki). Esto organiza los tipos básicos de artículos. Entonces dentro de cada artículo, tenemos referencias a otros artículos relacionados, así que es posible explorar un conjunto de información.

¿Por qué el nombre Panal?

Estamos tratando de usar un enfoque distribuido y organizado para crear algo más allá que cualquiera de los individuos involucrados. Los panales son formados espontáneamente en la naturaleza por la compleja interacción de elementos simples. Vea http://www.sciencedaily.com/releases/2006/08/060818014819.htm.

¿Cómo usar la información?
No estamos seguros de todas las formas en que está información será usada. Pero estamos seguros que teniendo todas las piezas definidas y conociendo como encajan juntas va a ayudar.


 * Arquitectos querrán usar está información cuando modelando riesgos para sus aplicaciones. Querrá identificar combinaciones de amenazas, ataques, y vulnerabilidades que apliquen a su sistema. Entonces tendrá que seleccionar contramedidas apropiadas y usar los principios para guiarse en decisiones de diseño.


 * Desarrolladores querrán usar la información para aprender acerca distintas vulnerabilidades y seleccionar guías de codificación para sus proyectos.


 * Investigadores de seguridad querrán usar este marco para organizar sus pensamientos sobre seguridad y ayudar a asegurar completitud.

Proyectos Relacionados
El proyecto Common Weakness Enumeration (CWE) de Mitre es una lista formal de debilidades de software creada para servir como un lenguaje común para describir debilidades de seguridad de software en arquitectura, diseño o código; servir como una vara de medir estándar para software de seguridad dirigidas a estás debilidades; y proveer una línea base común estándar para identificación débil, mitigación y esfuerzos de prevención.

El proyecto Software Assurance Metrics and Tool Evaluation (SAMATE) de NIST "apoya al Software de Aseguramiento y Programa de Identificación de Requerimientos R&D del Departamento de Seguridad Nacional. El objetivo de la parte 3, Tecnología (Herramientas y Requerimientos) es la idenficación, mejora y desarrollo de software de aseguramiento. NIST esta liderando en (A) herramientas de evaluación de software de pruebas, (B) midiendo la efectivad de herramientas, y (C) identificando huecos en herramientas y métodos"

Se Necesitan Voluntarios
Nuestras metas tácticas actualmente son:


 * Llenar en los contenidos de la matriz de artículos del panal (aquellos marcados con )
 * Refinar los contenidos y estructura de artículos del panal.
 * Eliminar la redundancia en los artículos y categorías

Las siguientes tareas estas listas para los voluntarios:
 * Mezclar "Buffer overflow", "Buffer Overflow" y artículos redundantes relacionados
 * Mezclar "Cross Site Scripting" y "Cross-site_scripting"
 * Mezclar "SQL Injection" y "SQL injection"

Para saber en que mas puede ayudar, por favor vaya a OWASP Honeycomb Project Roadmap.

Retroalimentación y Participación:
Esperamos encuentre el Proyecto Panal de OWASP útil. Por favor contribuya al proyecto participando como voluntario en alguna de las Tareas, enviando sus comentarios, preguntas y sugerencias a owasp@owasp.org. Para unirse a la lista de distribución del Proyecto Panal de OWASP o ver los archivos, por favor visite la pagina de subscripción.

=Artículos=

Listados en las páginas debajo están “todos” los artículos que son parte del proyecto Panal. Es interesante navegarlos, pero es sólo una lista alfabéticamente ordenada sin estructura. Todos los artículos están marcados con varias categorías que son parte de este proyecto para ayudarle a encontrar el artículo que está buscando.

'''Nota: el portal solo enlista categorías que comienzan con las letras de los primeros 200 artículos. Para ver otras categorías, seleccione el botón "siguientes 200".'''

[[Category:OWASP Honeycomb Project