部落格

OWASP 簡介

OWASP 是一個開放社群、非營利性組織，全球目前有超過250個分會，其主要任務目標是不再有不安全的軟體。長期支持與協助提供改善應用程式的安全性解決方案，諸如網路軟體安全指南、工具與技術文件 OWASP Top Ten, OWASP Web Security Testing Guide, OWASP ZAP ...等等具有影響力的項目，並通過世界各地的活動和分會會議發展和培育社區。 美國聯邦貿易委員會（FTC）更強烈建議所有企業務必遵循OWASP所發佈的十大網路弱點防護守則 ( 參考 OWASP Response to FTC Staff Report Protecting Consumer Privacy in an Era of Rapid Change ），美國防資訊系統局（DISA-STIG）亦將此守則列為最佳實務，而國際信用支付卡資料安全技術標準 PCI DSS 更將其列為必要元件。

OWASP贊助的ZAP簡介

OWASP Zed Attack Proxy (簡稱 ZAP) 於2010年9月從 Open Web Application Security

公司治理需要找到一個好的方式來綜覽是否各個事務都有做好資安配置，之前網路星期二聽到 Allen Own 演講的內容提到的 NIST Cybersecurity Framework 讓我非常感興趣，畢竟有個框架，才知道怎樣盤點公司狀態，來看我們面對資安事務的準備有哪些方面不足。

NIST Cybersecurity Framework 很有趣的是，把資安相關的事情，做了一個生命週期的分類。從識別、安全保護、偵測資安事件、應對資安事件、和從資安事件復原，可以看出其概念上是想要傳輸大家對資安事件有正確的理解，裡頭的內容也算簡單易讀，對於公司治理的管理人、負責研發的人員、負責業務的人員、客服等等，都有幫助。雖然國內盛行的認證是 ISO 27001，較無聽說根據 NIST Cybersecurity