Die OWASP Proactive Controls (v 2024) sind eine Sammlung von Maßnahmen, die Entwickler ergreifen können, um die Sicherheit von Webanwendungen zu erhöhen. Sie sind nicht als umfassender Bauplan zu verstehen, sondern als wichtige präventive Maßnahmen, die Entwickler bei der Erstellung sicherer Anwendungen berücksichtigen sollten. Die Proactive Controls umfassen Themen von der Anforderungserhebung bis hin zu konkreten Sicherheits- und Überwachungsverfahren.
Die OWASP Proactive Controls sind in zehn Kategorien unterteilt, die jeweils eine spezifische Sicherheitsmaßnahme darstellen:
- C1: Implement Access Control | Zugriffskontrolle implementieren
- C2: Use Cryptography to Protect Data | Daten mit Kryptografie schützen
- C3: Validate all Input & Handle Exceptions | Alle Eingaben validieren und Ausnahmen behandeln
- C4: Address Security from the Start | Sicherheit von Anfang an berücksichtigen
- C5: Secure By Default Configurations | Standardkonfigurationen sichern
- C6: Keep your Components Secure | Komponenten sicher halten
- C7: Secure Digital Identities | Digitale Identitäten sichern
- C8: Leverage Browser Security Features | Sicherheitsfunktionen des Browsers nutzen
- C9: Implement Security Logging and Monitoring | Sicherheitsprotokollierung und -überwachung implementieren
- C10: Stop Server Side Request Forgery | Server Side Request Forgery verhindern
Die OWASP Proactive Controls sind ein wichtiger Bestandteil der Anwendungssicherheit und sollten von allen Entwicklern berücksichtigt werden, die Webanwendungen erstellen.