Diskusi Publik RPM Perangkat Lunak Sistem Elektronik_Junior Lazuardi
1. OWASP dan OWASP Indonesia
Junior Lazuardi
Agustus 2015
Junior.Lazuardi@owasp.org
2. Mengenai OWASP Foundation
• OWASP Foundation
– Online sejak 1 Desember 2001, menjadi not-for-profit
charitable organization pada tanggal 21 April 2004 (pusat
di AS)
– Non-commercial (independen dan obyektif, netral
terhadap teknologi maupun vendor)
– Memiliki local chapter di seluruh belahan dunia, termasuk
di Asia Pasifik (Indonesia)
– Sumber dana : keanggotaan, biaya konferensi dan
pelatihan, donasi langsung serta dana sponsor.
– Alokasi dana : pembiayaan project, dana penelitian
(grants), infrastruktur dan dukungan terhadap chapter
Nilai utama: Open, Innovation, Global, Integrity
3. Mengenai OWASP Community/Project
• OWASP Community / Project
– Merupakan komunitas terbuka
– Membantu dalam proses desain, pengembangan, adopsi,
operasi dan pemeliharaan aplikasi yang dapat dipercaya.
– Deliverables OWASP: dokumen, perangkat lunak, sistem
pembelajaran, pedoman, checklist dan material lain terkait
dengan keamanan aplikasi
– Project OWASP menganut lisensi open-source
– OWASP secara aktif mengadakan konferensi, pelatihan dan
juga dapat mengirimkan tenaga ahli (expert/speaker) ke
negara ataupun instansi yang membutuhkan.
Misi utama: meningkatkan visibilitas dan evolusi dalam
keamanan aplikasi
4. OWASP Indonesia Chapter
• Berdiri pada tanggal 11 Juli 2007
• Pertama kali dipimpin oleh Azwar Rosyadi, dan dilanjutkan oleh Zaki
Akhmad
• Aktivitas Utama
– Diskusi mailing list
– Kopi Darat
• Kontribusi dan Dukungan
– Penerjemahan OWASP Top 10 2007
– Bimbingan Teknis Keamanan Aplikasi Web (Ditkaminfo)
– Penerjemahan dan adopsi OWASP ASVS dalam RPM Persyaratan Perangkat
Lunak
– Kontributor dalam OWASP Testing Guide versi 4 (Zaki Akhmad)
– Memorandum of Understanding (MoU) “The Cooperation in the Community
Service and Research in Web Application Security”
5. Peran OWASP
• Badan Pemerintahan (Green Book)
• Institusi Pendidikan (Blue Book)
• Organisasi Pengembang Aplikasi (Yellow Book)
• Organisasi Pengembang Standard (Gray Book)
• Badan Sertifikasi Profesi (Red Book)
• Organisasi Trade / Asosiasi Perdagangan,
Industri atau Sektor (Purple Book)
6. Referensi OWASP dalam Industri
(Citations)
• Standar, pedoman, Code of Practice untuk komite dan industri:
– Prancis (ANSSI, CLUSIF)
– Jerman (BSI)
– Canadian CISRT
– USA (CIS, DISA, Federal CIO Council, FTC, Financial Information Sharing and
Analysis Center, NCS, NIST, NSA, dsb. )
– UK (CPNI, GovCertUK)
– Worldwide (Cloud Security Alliance, IEEE, ISO, ISM3 Corporation, PCI SSC,
SafeCode, SANS Institute, SEI,)
– Eropa (ENISA, EU Regulations)
– Australia (Defence Signals Directorate, TISN)
– Jepang (IPA)
• Laporan dan dokumen resmi lainnya
• Requirement dalam project (tender)
7. Project OWASP
Matang (Nilai strategis)
• OWASP Top 10
• OWASP Testing Guide
• OWASP ASVS
• OWASP OpenSAMM
• OWASP AppSensor
• OWASP OWTF
• OWASP ZAP
• OWASP CSFRGuard
• OWASP AppSensor Project
Medium dan Inkubator
• OWASP Application Security
Guide for CISO
• OWASP Top 10 Privacy Risks
• OWASP Enterprise API (ESAPI)
• OWASP Secure Coding Practice
• OWASP Code Review Guide
• OWASP Java Encoder Project
• OWASP Internet of Things Top
Ten Project
• OWASP iMAS – iOS Mobile
Application Security Project