OWASP 주요 프로젝트 목록¶
Flagship 프로젝트 (15개)¶
OWASP의 전략적 가치를 입증한 핵심 프로젝트입니다. 글로벌 보드 승인이 필요합니다.
문서 및 표준¶
| 프로젝트 | 설명 | 최신 버전 | GitHub |
|---|---|---|---|
| Top 10 | 웹 애플리케이션 10대 보안 위험 | 2025 | GitHub |
| ASVS | 애플리케이션 보안 검증 표준 | v5.0.0 | GitHub |
| WSTG | 웹 보안 테스트 가이드 | v4.2 | GitHub |
| MAS (MASVS/MASTG) | 모바일 앱 보안 표준 및 테스트 가이드 | 지속 업데이트 | GitHub |
| SAMM | 소프트웨어 보증 성숙도 모델 | 지속 업데이트 | GitHub |
| Cheat Sheet Series | 보안 구현 가이드 모음 | 91개+ 체크시트 | GitHub |
| CycloneDX | BOM(Bill of Materials) 표준 | ECMA-424 | GitHub |
도구 및 코드¶
| 프로젝트 | 설명 | GitHub |
|---|---|---|
| Juice Shop | 의도적으로 취약한 웹 앱 (보안 교육용) | GitHub |
| Dependency-Check | SCA(소프트웨어 구성 분석) — 알려진 취약 라이브러리 탐지 | GitHub |
| Dependency-Track | 컴포넌트 분석 및 공급망 위험 관리 플랫폼 | GitHub |
| DefectDojo | 애플리케이션 취약점 관리 플랫폼 | GitHub |
| ModSecurity CRS | WAF(웹 방화벽) Core Rule Set | GitHub |
| Amass | 네트워크 매핑 및 외부 자산 발견 | GitHub |
| OWTF | 공격적 웹 테스트 프레임워크 | GitHub |
| Security Shepherd | 웹/모바일 보안 교육 플랫폼 | GitHub |
Production 프로젝트 (11개)¶
프로덕션 준비 완료된 프로젝트입니다.
| 프로젝트 | 설명 |
|---|---|
| API Security Project | API 보안 Top 10 및 전략 |
| BLT (Bug Logging Tool) | 버그 리포팅 및 보상 플랫폼 |
| Coraza WAF | Go 기반 엔터프라이즈 WAF |
| Cornucopia | 위협 모델링 카드 게임 |
| CSRFGuard | CSRF 공격 방어 라이브러리 |
| ModSecurity | 오픈소스 WAF 엔진 |
| Nest | OWASP 진입점 플랫폼 |
| pytm | 위협 모델링 Python 프레임워크 |
| SamuraiWTF | 웹 앱 테스트 플랫폼 |
| Secure Headers Project | HTTP 보안 헤더 정보 |
| WrongSecrets | 시크릿 관리 안티패턴 예제 |
Lab 프로젝트 (주요 항목)¶
OWASP 검토를 완료하고 가치를 입증한 프로젝트입니다. Flagship/Production 승격 후보입니다.
Lab 단계의 Top 10 프로젝트는 Top 10 카탈로그에서 확인하세요.
문서/표준¶
| 프로젝트 | 설명 |
|---|---|
| DevSecOps Guideline | DevSecOps 파이프라인 구축 가이드 |
| Developer Guide | 개발자를 위한 보안 가이드 |
| Code Review Guide | 코드 리뷰 보안 가이드 |
| Go Secure Coding Practices | Go 언어 안전한 코딩 가이드 |
| Secure Coding Practices Quick Reference | 안전한 코딩 관행 빠른 참조 가이드 |
| IoT Security Testing Guide | IoT 보안 테스트 가이드 |
| AISVS | AI 보안 검증 표준 |
| LLM Security Verification Standard | LLM 보안 검증 표준 |
| Threat Modeling Playbook | 위협 모델링 플레이북 |
| Infrastructure Security Testing Guide | 인프라 보안 테스트 가이드 |
| Payment Security Testing Guide | 결제 보안 테스트 가이드 |
도구/코드¶
| 프로젝트 | 설명 |
|---|---|
| WebGoat | 의도적 취약 웹앱 (교육용, Juice Shop과 유사) |
| crAPI | 의도적 취약 API 애플리케이션 |
| Nettacker | 자동화된 네트워크 취약점 스캐너 |
| Find Security Bugs | Java 정적 분석 보안 버그 탐지 (SpotBugs 플러그인) |
| secureCodeBox | 자동화된 보안 스캐닝 오케스트레이션 |
| Threat Dragon | 위협 모델링 도구 |
| cdxgen | CycloneDX BOM 생성기 |
| dep-scan | 종속성 취약점 스캔 도구 |
| Noir | 소스코드 기반 공격 표면 탐지 |
| Maryam | OSINT 프레임워크 |
| Benchmark | 보안 도구 정확도 벤치마킹 |
| Enterprise Security API (ESAPI) | 엔터프라이즈 보안 API 라이브러리 |
Incubator 프로젝트 (주요 항목)¶
실험/개발 단계의 신규 프로젝트입니다 (200개+). 성숙해지면 Lab → Production → Flagship으로 승격됩니다.
Incubator 프로젝트는 변동이 잦으므로 전체 목록은 OWASP 공식 프로젝트 페이지에서 확인하세요.
Top 10 계열 Incubator 프로젝트는 Top 10 프로젝트 전체 목록에 포함되어 있습니다.
주목할 만한 Incubator 프로젝트 (Top 10 제외):
| 프로젝트 | 설명 |
|---|---|
| APTS | AI 자율 침투 테스트 표준 (173개 요구사항, 8 도메인) |
| AI Exchange | AI 보안 지식 교환 플랫폼 |
| AI Testing Guide | AI 시스템 보안 테스트 가이드 |
| AI Maturity Assessment | AI 보안 성숙도 평가 |
| Blockchain AppSec Standard | 블록체인 앱 보안 표준 |
| Web3 Wallet Security | Web3 지갑 보안 |
| SASE Security | Secure Access Service Edge 보안 |
| Secure by Design Framework | 설계 단계부터의 보안 프레임워크 |
| Wi-Fi Security Testing Guide | Wi-Fi 보안 테스트 가이드 |
Top 10 프로젝트¶
OWASP에는 웹 Top 10 외에도 26개의 도메인별 Top 10 프로젝트가 있습니다. 전체 목록은 Top 10 프로젝트 전체 목록을 참고하세요.
참고¶
- 전체 프로젝트 인벤토리 (418개+): https://owasp.org/projects/
- 프로젝트 성숙도 기준: https://owasp.org/www-committee-project/#maturity-levels