OWASP Cornucopia: Open Source Threat Modeling ondersteund door dotNET lab

intro

In de wereld van cybersecurity speelt threat modeling een cruciale rol bij het identificeren en behandelen van risico’s binnen webapplicaties. OWASP, de Open Web Application Security Project, is een wereldwijd erkende non-profitorganisatie die zich inzet voor het verbeteren van softwarebeveiliging. Een van hun initiatieven, OWASP Cornucopia, biedt een toegankelijke en speelse manier om securityrisico’s in webapplicaties te modelleren en te bespreken.

Wat is OWASP Cornucopia?

OWASP Cornucopia is een kaartspel dat teams helpt bij het identificeren van beveiligingsrisico’s in webapplicaties. Door een speelse maar gestructureerde aanpak te hanteren, moedigt het teams aan om potentieel kwetsbare onderdelen van hun applicaties te identificeren en verbeteringen te bespreken. Ontwikkelaars scoren punten in het spel door zelf kwetsbaarheden naar buiten te brengen!

Dit helpt hen en securityprofessionals om proactief beveiligingsmaatregelen te implementeren voordat zwakke plekken kunnen worden uitgebuit.

Een Cornucopia referentiewebsite

Onze teams van software ontwikkelaars gingen vlijtig aan de slag met Cornucopia. Echter merkten we al snel dat sommige spelkaarten een extra woordje uitleg nodig hadden om het spel vlot te laten verlopen. Jammer genoeg kan je maar een beperkt aantal woorden op een speelkaart schrijven. Gelukkig is Cornucopia een open-source project, en konden we dit zelf aanpakken. Zo gezegd, zo gedaan!

We lanceerden een referentiewebsite waarbij we bij elke kaart wat extra informatie konden weergeven. Ook beschreven we enkele mogelijke scenario’s waarin de kaart relevant was. Een QR code op de nieuwe kaarten zorgde ervoor dat elke kaart een link had naar de online versie van de kaart. Op deze manier konden we de informatie ook up-to-date houden.

Schenking aan de open-source community

Het core team van het Cornucopia-project was meteen enthousiast over deze aanpak. Ze zagen niet alleen de waarde ervan in, maar waren er ook van overtuigd dat dit een breder publiek binnen de securitycommunity zou kunnen helpen. Al snel werd het duidelijk: om de kracht van Cornucopia verder te vergroten, moest de referentiewebsite beschikbaar zijn voor iedereen.

Daarom besloten we om de site officieel te schenken aan het open-source project. Dit betekende niet alleen een stap vooruit voor de toegankelijkheid van Cornucopia, maar ook een versterking van het open-source ethos: samenwerken, kennis delen en gezamenlijk de veiligheid van software verbeteren.

Deze stap viel samen met de release van Cornucopia 2.1, een belangrijke update die nieuwe functionaliteiten en verbeteringen met zich meebracht. Een van de meest impactvolle toevoegingen was de uitbreiding van security voor mobiele apps, waarmee Cornucopia zich nog beter richt op de groeiende security uitdagingen rond app development. Dit maakt het voor ontwikkelaars en securityprofessionals eenvoudiger om dreigingen bij het ontwikkelen van apps te identificeren en aan te pakken.

Na enkele technische verfijningen en optimalisaties ging de website live op https://cornucopia.owasp.org/. Vanaf dat moment werd het een centraal punt voor iedereen die Cornucopia wil gebruiken om applicaties veiliger te maken. We kijken ernaar uit om te zien hoe de community ermee aan de slag gaat en hoe het project zich verder zal ontwikkelen!

Afbeelding4

Webshop

Naast een referentiewebsite hebben we ook de decks fysiek laten printen. Deze verdelen we nu via onze webshop op https://webshop.dotnetlab.eu/product/cornucopia-card-deck/. De aandachtige lezer belonen we graag met een korting van 35% op je bestelling door gebruik te maken van kortingscode ‘dotnetlab-blog’.

Zelf aan de slag!

Heb je door bovenstaand artikel zelf zin gekregen om een keer aan de slag te gaan met Cornucopia?

Bestel je eigen deck via https://webshop.dotnetlab.eu! Of bezoek je liever de referentiewebsite dan kan dat via https://cornucopia.owasp.org.

Wil je meer weten over OWASP Cornucopia of hoe threat modeling je organisatie kan helpen? Bezoek onze website of neem contact met ons op voor een vrijblijvend gesprek over cybersecurity in jouw bedrijf!