Μια βασική ιδιότητα του λογισμικού είναι η ασφάλεια. Η ασφάλεια αποτελεί επιτακτική ανάγκη, ιδιαίτερα εξαιτίας της διασύνδεσης των υπολογιστών στο Διαδίκτυο, το οποίο αυξάνει τις πιθανές επιθέσεις από κακόβουλους επιτιθέμενους που βασίζονται σε ευπάθειες στο λογισμικό. Οι υπεύθυνοι της ασφάλειας πρέπει να ανιχνεύσουν τις απειλές που δεν μπορούν να δουν οι υπόλοιποι, να ποσοτικοποιήσουν τους κινδύνους που οι άλλοι δεν μπορούν κατανοήσουν, καθώς και να ανακαλύψουν τις ευπάθειες που κρύβονται στις εφαρμογές, στα δίκτυα και τα συστήματα του οργανισμού. Μια σημαντική πτυχή της διασφάλισης της ασφάλειας του λογισμικού είναι η αξιολόγησή της, ώστε να αναδειχθούν ευπάθειες και να ληφθούν κατάλληλα διορθωτικά μέτρα. Πρόκειται για μια μεγάλη διαδικασία που απαιτεί ένα διεξοδικό σχέδιο, λεπτομερείς οδηγίες, αυξημένες δεξιότητες και ένα καλό σύνολο εργαλείων. Ο απαραίτητος χρόνος και οι δεξιότητες για την αποτελεσματική αξιολόγηση της ασφάλειας δεν θα είναι ποτέ ελεύθερα διαθέσιμα, αλλά μια κατάλληλη μεθοδολογία και τα αντίστοιχα εργαλεία είναι εύκολα στη χρήση και ελεύθερα διαθέσιμα, χάρη στην κοινότητα ανοικτού κώδικα. Υπάρχουν πολλές μεθοδολογίες ανοικτού κώδικα που χρησιμοποιούνται σήμερα από τους ελεγκτές ασφάλειας για την αξιολόγηση της ασφάλειας λογισμικού εφαρμογών. Όλες αυτές οι μεθοδολογίες παρέχουν ένα σύνολο από λεπτομερείς οδηγίες ώστε να διεξαχθεί ένας έλεγχος ασφάλειας και κάθε μια μπορεί να έχει τα θετικά της σημεία αλλά και τις αδυναμίες της. Τα συμπεράσματα που προκύπτουν μετά τη διενέργεια ενός ελέγχου ασφάλειας χρησιμοποιώντας κάποια μεθοδολογία, μπορούν διασφαλίσουν τον οργανισμό από πολλές κακόβουλες επιθέσεις. Αντικείμενο της παρούσας μεταπτυχιακής εργασίας αποτελεί η διερεύνηση και η μελέτη των πιο δημοφιλών μεθοδολογιών αξιολόγησης της ασφάλειας λογισμικού ανοικτού κώδικα. Πραγματοποιείται, διεξοδική αναφορά σε αυτές τις μεθοδολογίες, καθώς και στο πλαίσιο που τις διέπει και παράλληλα, μελετώνται τα αντίστοιχα εργαλεία λογισμικού ανοικτού κώδικα που τις υποστηρίζουν. Η διάρθρωση της εργασίας έχει ως εξής: Το Κεφάλαιο 1 εισάγει τον αναγνώστη στις βασικές έννοιες που σχετίζονται με την ασφάλεια λογισμικού εφαρμογών και αναλύει τον όρο της αξιολόγησης της ασφάλειας. Στο Κεφάλαιο 2 περιγράφεται η μεθοδολογία OSSTMM (Open Source Security Testing Methodology) v2.2. Το Κεφάλαιο 3 ασχολείται με τη μεθοδολογία OWASP (Open Web Application Security Project) και συγκεκριμένα, στο υποκεφάλαιο 3.2 γίνεται αναφορά στον οδηγό OWASP Testing Guide v3 και στο υποκεφάλαιο 3.3 στο πρότυπο OWASP ASVS (Application Security Verification Standard). Στο Κεφάλαιο 4 περιγράφεται η μεθοδολογία Technical Guide to Information Security Testing and Assessment του NIST-SP 800-115 και στο Κεφάλαιο 5 αναλύεται η μεθοδολογία ISSAF (Information System Security Assessment Framework) 0.2. Στο Κεφάλαιο 6 πραγματοποιείται συγκριτική αξιολόγηση και εξάγονται συμπεράσματα σχετικά με τις μεθοδολογίες που αναλύθηκαν. Τέλος, επισημαίνεται ότι έχει ακολουθηθεί μία τυποποιημένη δομή για όλες τις μεθοδολογίες, ώστε να διευκολύνεται η σύγκριση των χαρακτηριστικών τους. Συγκεκριμένα, η δομή για κάθε μεθοδολογία (κεφάλαιο) είναι η ακόλουθη: • Γενικά - Βασικοί στόχοι της μεθοδολογίας. • Εμβέλεια. • Επίπεδα ασφάλειας, εφόσον υπάρχουν. • Βασική μεθοδολογία ασφάλειας. • Εργαλεία για την υποστήριξη της μεθοδολογίας.