diff --git a/.github/dependabot.yml b/.github/dependabot.yml
new file mode 100644
index 00000000..d7812cdd
--- /dev/null
+++ b/.github/dependabot.yml
@@ -0,0 +1,21 @@
+version: 2
+updates:
+ - package-ecosystem: "github-actions"
+ directory: ".github/workflows"
+ schedule:
+ interval: "monthly"
+ groups:
+ version-update:
+ applies-to: version-updates
+ patterns:
+ - "*"
+ update-types:
+ - "minor"
+ - "patch"
+ security-update:
+ applies-to: security-updates
+ patterns:
+ - "*"
+ update-types:
+ - "patch"
+ - "minor"
diff --git a/.github/workflows/ci.yaml b/.github/workflows/ci.yaml
index 715163c8..158d2f05 100644
--- a/.github/workflows/ci.yaml
+++ b/.github/workflows/ci.yaml
@@ -20,10 +20,10 @@ jobs:
runs-on: ubuntu-24.04
steps:
- name: Checkout markdown
- uses: actions/checkout@v4.2.0
+ uses: actions/checkout@v5.0.0
- name: Link Checker
- uses: lycheeverse/lychee-action@v2.4.0
+ uses: lycheeverse/lychee-action@v2.6.1
with:
args: >-
--no-progress
@@ -41,10 +41,10 @@ jobs:
runs-on: ubuntu-24.04
steps:
- name: Checkout markdown
- uses: actions/checkout@v4.2.0
+ uses: actions/checkout@v5.0.0
- name: Lint markdown
- uses: DavidAnson/markdownlint-cli2-action@v19.1.0
+ uses: DavidAnson/markdownlint-cli2-action@v20.0.0
with:
config: '.markdownlint.yaml'
globs: |
@@ -57,23 +57,45 @@ jobs:
runs-on: ubuntu-24.04
steps:
- name: Checkout markdown
- uses: actions/checkout@v4.2.0
+ uses: actions/checkout@v5.0.0
- name: Spell check EN language
- uses: rojopolis/spellcheck-github-actions@0.48.0
+ uses: rojopolis/spellcheck-github-actions@0.52.0
with:
config_path: .spellcheck-en.yaml
+ - name: Spell check ES language
+ uses: rojopolis/spellcheck-github-actions@0.52.0
+ with:
+ config_path: .spellcheck-es.yaml
+
+ # rojopolis/spellcheck-github-actions does not support PT-BR,
+ # only PT, and PT-BR is too different to pass a PT spellcheck
+ - name: Set up Python for PT-BR
+ uses: actions/setup-python@v6.0.0
+ with:
+ python-version: '3.10'
+
+ - name: Install pyspelling for PT-BR
+ run: |
+ python -m pip install --upgrade pip setuptools
+ python -m pip install pyspelling
+ sudo apt-get install aspell aspell-pt
+
+ - name: Spell check PT-BR language
+ run: |
+ python -m pyspelling --config .spellcheck-pt-br.yaml
+
deploy:
name: Deploy web doc
runs-on: ubuntu-latest
- needs: [link_checker, md_linter, spell_checker]
+ needs: [md_linter, spell_checker]
steps:
- name: Checkout markdown
- uses: actions/checkout@v4.2.0
+ uses: actions/checkout@v5.0.0
- name: Install python
- uses: actions/setup-python@v5.5.0
+ uses: actions/setup-python@v6.0.0
with:
python-version: 3.x
@@ -85,14 +107,74 @@ jobs:
pip install mkdocs-open-in-new-tab
pip install mkdocs-with-pdf
+ - name: Copy contributing tab files
+ run: |
+ cp code_of_conduct.md docs/.
+ cp contributing.md docs/.
+ cp license.txt docs/.
+
- name: Build check
run: mkdocs build
- name: Deploy
run: mkdocs gh-deploy --force --verbose
- - name: Upload PDF
- uses: actions/upload-artifact@v4.6.0
+ export_pdf:
+ name: Export PDFs
+ runs-on: ubuntu-latest
+ needs: [md_linter, spell_checker]
+ steps:
+ - name: Checkout markdown
+ uses: actions/checkout@v5.0.0
+
+ - name: Install python
+ uses: actions/setup-python@v6.0.0
with:
- name: pdf-export
+ python-version: 3.x
+
+ - name: Install python packages
+ run: |
+ python -m pip install --upgrade pip setuptools wheel
+ pip install mkdocs
+ pip install mkdocs-material
+ pip install mkdocs-open-in-new-tab
+ pip install mkdocs-with-pdf
+
+ - name: Build check
+ run: mkdocs build
+
+ - name: Create EN PDF
+ run: mkdocs build --config-file mkdocs-pdf-en.yaml
+
+ - name: Upload EN PDF
+ uses: actions/upload-artifact@v4.6.2
+ with:
+ name: pdf-export-en
path: site/OWASP_Developer_Guide.pdf
+
+ - name: Create ES PDF
+ run: mkdocs build --config-file mkdocs-pdf-es.yaml
+
+ - name: Upload ES PDF
+ uses: actions/upload-artifact@v4.6.2
+ with:
+ name: pdf-export-es
+ path: site/OWASP_Developer_Guide-ES.pdf
+
+ - name: Create FA PDF
+ run: mkdocs build --config-file mkdocs-pdf-fa.yaml
+
+ - name: Upload FA PDF
+ uses: actions/upload-artifact@v4.6.2
+ with:
+ name: pdf-export-fa
+ path: site/OWASP_Developer_Guide-FA.pdf
+
+ - name: Create PT-BR PDF
+ run: mkdocs build --config-file mkdocs-pdf-pt-br.yaml
+
+ - name: Upload PT-BR PDF
+ uses: actions/upload-artifact@v4.6.2
+ with:
+ name: pdf-export-pt-br
+ path: site/OWASP_Developer_Guide-PT-BR.pdf
diff --git a/.github/workflows/housekeeping.yaml b/.github/workflows/housekeeping.yaml
index a7351526..fc72c7fb 100644
--- a/.github/workflows/housekeeping.yaml
+++ b/.github/workflows/housekeeping.yaml
@@ -25,7 +25,7 @@ jobs:
keep_minimum_runs: 10
- name: Delete unused workflows
- uses: otto-de/purge-deprecated-workflow-runs@v3.0.1
+ uses: otto-de/purge-deprecated-workflow-runs@v3.0.4
with:
token: ${{ github.token }}
@@ -34,10 +34,10 @@ jobs:
runs-on: ubuntu-24.04
steps:
- name: Checkout markdown
- uses: actions/checkout@v4.2.0
+ uses: actions/checkout@v5.0.0
- name: Link Checker
- uses: lycheeverse/lychee-action@v2.4.0
+ uses: lycheeverse/lychee-action@v2.6.1
with:
# skip the jekyll files under '_includes' directory, check all other directories
args: >-
@@ -60,7 +60,7 @@ jobs:
steps:
- name: Tidy stale PRs and issues
- uses: actions/stale@v9
+ uses: actions/stale@v10.1.0
with:
days-before-issue-stale: 183
days-before-issue-close: -1
diff --git a/.github/workflows/pr.yaml b/.github/workflows/pr.yaml
index d8f9f99a..c868bfd5 100644
--- a/.github/workflows/pr.yaml
+++ b/.github/workflows/pr.yaml
@@ -13,10 +13,10 @@ jobs:
runs-on: ubuntu-24.04
steps:
- name: Checkout markdown
- uses: actions/checkout@v4.2.0
+ uses: actions/checkout@v5.0.0
- name: Link Checker
- uses: lycheeverse/lychee-action@v2.4.0
+ uses: lycheeverse/lychee-action@v2.6.1
with:
args: >-
--no-progress
@@ -34,10 +34,10 @@ jobs:
runs-on: ubuntu-24.04
steps:
- name: Checkout markdown
- uses: actions/checkout@v4.2.0
+ uses: actions/checkout@v5.0.0
- name: Lint markdown
- uses: DavidAnson/markdownlint-cli2-action@v19.1.0
+ uses: DavidAnson/markdownlint-cli2-action@v20.0.0
with:
config: '.markdownlint.yaml'
globs: |
@@ -45,28 +45,64 @@ jobs:
docs/*.md
*.md
- spell_checker:
- name: Check spelling
+ spell_checker_en:
+ name: Check EN spelling
runs-on: ubuntu-24.04
steps:
- name: Checkout markdown
- uses: actions/checkout@v4.2.0
+ uses: actions/checkout@v5.0.0
- name: Spell check EN language
- uses: rojopolis/spellcheck-github-actions@0.48.0
+ uses: rojopolis/spellcheck-github-actions@0.52.0
with:
config_path: .spellcheck-en.yaml
- export_pdf:
- name: Export PDF
+ spell_checker_es:
+ name: Check ES spelling
+ runs-on: ubuntu-24.04
+ steps:
+ - name: Checkout markdown
+ uses: actions/checkout@v5.0.0
+
+ - name: Spell check ES language
+ uses: rojopolis/spellcheck-github-actions@0.52.0
+ with:
+ config_path: .spellcheck-es.yaml
+
+ spell_checker_pt-br:
+ name: Check PT-BR spelling
+ runs-on: ubuntu-24.04
+ steps:
+ - name: Checkout markdown
+ uses: actions/checkout@v5.0.0
+
+ # rojopolis/spellcheck-github-actions does not support PT-BR,
+ # only PT, and PT-BR is too different to pass a PT spellcheck
+ - name: Set up Python
+ uses: actions/setup-python@v6.0.0
+ with:
+ python-version: '3.10'
+
+ - name: Install pyspelling
+ run: |
+ python -m pip install --upgrade pip setuptools
+ python -m pip install pyspelling
+ sudo apt-get install aspell aspell-pt
+
+ - name: Spell check PT-BR release
+ run: |
+ python -m pyspelling --config .spellcheck-pt-br.yaml
+
+ build_check:
+ name: Build check
runs-on: ubuntu-24.04
- needs: [link_checker, md_linter, spell_checker]
+ needs: [md_linter, spell_checker_en, spell_checker_es, spell_checker_pt-br]
steps:
- name: Checkout markdown
- uses: actions/checkout@v4.2.0
+ uses: actions/checkout@v5.0.0
- name: Install python
- uses: actions/setup-python@v5.5.0
+ uses: actions/setup-python@v6.0.0
with:
python-version: 3.x
@@ -78,5 +114,44 @@ jobs:
pip install mkdocs-open-in-new-tab
pip install mkdocs-with-pdf
- - name: Build check
+ - name: Copy contributing tab files
+ run: |
+ cp code_of_conduct.md docs/.
+ cp contributing.md docs/.
+ cp license.txt docs/.
+
+ - name: Build docs
run: mkdocs build
+
+ export_pdf:
+ name: Export PDFs
+ runs-on: ubuntu-24.04
+ needs: [build_check]
+ steps:
+ - name: Checkout markdown
+ uses: actions/checkout@v5.0.0
+
+ - name: Install python
+ uses: actions/setup-python@v6.0.0
+ with:
+ python-version: 3.x
+
+ - name: Install python packages
+ run: |
+ python -m pip install --upgrade pip setuptools wheel
+ pip install mkdocs
+ pip install mkdocs-material
+ pip install mkdocs-open-in-new-tab
+ pip install mkdocs-with-pdf
+
+ - name: Build pdf for EN
+ run: mkdocs build --config-file mkdocs-pdf-en.yaml
+
+ - name: Build pdf for ES
+ run: mkdocs build --config-file mkdocs-pdf-es.yaml
+
+ - name: Build pdf for FA
+ run: mkdocs build --config-file mkdocs-pdf-fa.yaml
+
+ - name: Build pdf for PT-BR
+ run: mkdocs build --config-file mkdocs-pdf-pt-br.yaml
diff --git a/.github/workflows/release.yaml b/.github/workflows/release.yaml
index b7ccc5fd..c09db037 100644
--- a/.github/workflows/release.yaml
+++ b/.github/workflows/release.yaml
@@ -15,10 +15,10 @@ jobs:
runs-on: ubuntu-24.04
steps:
- name: Checkout markdown
- uses: actions/checkout@v4.2.0
+ uses: actions/checkout@v5.0.0
- name: Install python
- uses: actions/setup-python@v5.5.0
+ uses: actions/setup-python@v6.0.0
with:
python-version: 3.x
@@ -34,7 +34,7 @@ jobs:
run: mkdocs build
- name: Upload PDF
- uses: actions/upload-artifact@v4.6.0
+ uses: actions/upload-artifact@v4.6.2
with:
name: 'pdf-export'
path: 'site/OWASP_Developer_Guide.pdf'
@@ -45,10 +45,10 @@ jobs:
needs: [export_pdf]
steps:
- name: Check out
- uses: actions/checkout@v4.2.0
+ uses: actions/checkout@v5.0.0
- name: Fetch prepared SBOM artifacts
- uses: actions/download-artifact@v4.2.1
+ uses: actions/download-artifact@v5.0.0
with:
name: 'pdf-export'
path: 'site/OWASP_Developer_Guide.pdf'
@@ -59,7 +59,7 @@ jobs:
sed -e s/x.x.x/${releaseVersion:1}/g .release-note-template.md > ./release-notes.txt
- name: Create release notes
- uses: softprops/action-gh-release@v2.2.0
+ uses: softprops/action-gh-release@v2.3.3
with:
draft: true
name: "${releaseVersion:1}"
diff --git a/.gitignore b/.gitignore
index 823990c0..b7b756bd 100644
--- a/.gitignore
+++ b/.gitignore
@@ -2,17 +2,15 @@
*
# project files
+!.lintcheck.yaml
+!.lycheeignore
+!.markdownlint.yaml
+!.spellcheck*.yaml
+!.wordlist*.txt
+!mkdocs*.yaml
+!CNAME
!*.md
!license.txt
-!mkdocs.yaml
-!CNAME
-!docs/
-!docs/assets/
-!docs/assets/images/
-!docs/assets/images/*.png
-!docs/assets/images/logos/
-!docs/assets/images/logos/*.png
-!docs/CNAME
# allow github, workflows and templates
!.github/
@@ -22,24 +20,42 @@
!.github/workflows/
!.github/workflows/*.yaml
!.gitignore
-!.lintcheck.yaml
-!.lycheeignore
-!.markdownlint.yaml
-!.spellcheck*.yaml
-!.wordlist*.txt
-# release version
+# docs site
!docs/
-!docs/title*.yaml
-!docs/0*/
-!docs/0*/*.md
-!docs/0*/0*/
-!docs/0*/0*/*.md
-!docs/0*/1*/
-!docs/0*/1*/*.md
-!docs/1*/
-!docs/1*/*.md
-!docs/1*/0*/
-!docs/1*/0*/*.md
-!docs/1*/1*/
-!docs/1*/1*/*.md
+!docs/index.md
+!docs/assets/
+!docs/assets/images/
+!docs/assets/images/*.png
+!docs/assets/images/logos/
+!docs/assets/images/logos/*.png
+!docs/en/
+!docs/en/index.md
+!docs/en/**/
+!docs/en/**/*.md
+!docs/es/
+!docs/es/index.md
+!docs/es/**/
+!docs/es/**/*.md
+!docs/fa/
+!docs/fa/index.md
+!docs/fa/**/
+!docs/fa/**/*.md
+!docs/hi/
+!docs/hi/index.md
+!docs/hi/**/
+!docs/hi/**/*.md
+!docs/pt-br/
+!docs/pt-br/index.md
+!docs/pt-br/**/
+!docs/pt-br/**/*.md
+!docs/fa/
+!docs/fa/index.md
+!docs/fa/**/
+!docs/fa/**/*.md
+!docs/CNAME
+
+# ignore symbolic links
+docs/license.txt
+docs/code_of_conduct.md
+docs/contributing.md
diff --git a/.lycheeignore b/.lycheeignore
index 40828af9..ab13e9cf 100644
--- a/.lycheeignore
+++ b/.lycheeignore
@@ -31,3 +31,6 @@ drive.google.com/
# SAMM training site blocks automated access
owaspsamm.thinkific.com/courses/samm
+
+# the BLT site blocks bots
+owaspblt.org
diff --git a/.markdownlint.yaml b/.markdownlint.yaml
index 4011493c..bbff44d4 100644
--- a/.markdownlint.yaml
+++ b/.markdownlint.yaml
@@ -8,7 +8,7 @@ link-fragments: false
MD013:
code_block_line_length: 125
code_blocks: true
- heading_line_length: 80
+ heading_line_length: 100
headings: true
line_length: 125
stern: true
diff --git a/.spellcheck-en.yaml b/.spellcheck-en.yaml
index 20af6ed7..a0f8c78e 100644
--- a/.spellcheck-en.yaml
+++ b/.spellcheck-en.yaml
@@ -16,7 +16,7 @@ matrix:
- code
- pre
sources:
- - 'docs/**/*.md'
+ - 'docs/en/**/*.md'
- 'docs/*.md'
- '*.md'
default_encoding: utf-8
diff --git a/.spellcheck-es.yaml b/.spellcheck-es.yaml
new file mode 100644
index 00000000..ec509e71
--- /dev/null
+++ b/.spellcheck-es.yaml
@@ -0,0 +1,20 @@
+matrix:
+- name: Markdown
+ aspell:
+ lang: es
+ dictionary:
+ wordlists:
+ - .wordlist-es.txt
+ output: wordlist.dic
+ encoding: utf-8
+ pipeline:
+ - pyspelling.filters.markdown:
+ - pyspelling.filters.html:
+ comments: false
+ ignores:
+ - code
+ - pre
+ sources:
+ - 'docs/es/**/*.md'
+ - 'docs/es/*.md'
+ default_encoding: utf-8
diff --git a/.spellcheck-pt-br.yaml b/.spellcheck-pt-br.yaml
new file mode 100644
index 00000000..c97d4065
--- /dev/null
+++ b/.spellcheck-pt-br.yaml
@@ -0,0 +1,20 @@
+matrix:
+- name: Markdown
+ aspell:
+ lang: pt_BR
+ dictionary:
+ wordlists:
+ - .wordlist-pt-br.txt
+ output: wordlist.dic
+ encoding: utf-8
+ pipeline:
+ - pyspelling.filters.markdown:
+ - pyspelling.filters.html:
+ comments: false
+ ignores:
+ - code
+ - pre
+ sources:
+ - 'docs/pt-br/**/*.md'
+ - 'docs/pt-br/*.md'
+ default_encoding: utf-8
diff --git a/.wordlist-en.txt b/.wordlist-en.txt
index 1a9d439c..837786d6 100644
--- a/.wordlist-en.txt
+++ b/.wordlist-en.txt
@@ -1,5 +1,6 @@
-AES
+ACM
AEAD
+AES
APIT
APIs
APK
@@ -7,6 +8,7 @@ ARP
ASVS
AUTH
Adoptium
+Amauri
Analyser
Andra
Andreas
@@ -16,19 +18,24 @@ AppSec
AppSensor
Arithmatex
Atlassian
+BOLA
BOM
BOMs
+BOPLA
BOV
BetterEm
+Bizerra
Bluesky
Brømsø
CAPEC
CCM
+CEC
CFB
-ChaCha
CISO
CMS
CMSeeK
+COE
+CP
CPE
CRL
CRS
@@ -44,12 +51,14 @@ CVSS
CWE
Canonicalisation
Cavalcanti
+ChaCha
ChartMuseum
Cheatsheet
Cheatsheets
ClickJacking
Clickjacking
CodeQL
+Copi
Coraza
Crackmes
Cryptographic
@@ -78,13 +87,16 @@ DotNet
DrHEADer
Dracon
ECB
+EE
ENISA
ESAPI
+Ebihara
Ecommerce
Elie
EscapeAll
Exploitability
FIPS
+FV
Flaxman
GCM
GCP
@@ -114,7 +126,9 @@ InlineHilite
Istio
JA
JDK
+JEA
JIRA
+JIT
JSON
JSONP
JSP
@@ -137,6 +151,7 @@ Kubeaudit
Kubernetes
Kulkarni
LDAP
+LF
LFD
LINDDUN
LINNDUN
@@ -161,6 +176,7 @@ MagicLink
Matteo
Microservices
Misconfiguration
+MLSec
ModSecurity
Multifactor
NIST
@@ -193,6 +209,8 @@ OpenCRE
OpenID
OpenJDK
PCI
+PDFs
+PDR
PID
PIDs
PKI
@@ -214,6 +232,7 @@ RSA
RansomWare
Recx
Riccardo
+Roxana
Ruleset
SAFEcode
SAML
@@ -224,13 +243,19 @@ SBOM
SBOMs
SBT
SCA
+SCM
SCP
+SDA
+SDC
SDLC
SDLCs
SECCOMP
SELinux
+SFL
SIEM
SKF
+SL
+SLD
SMS
SNYK
SPOA
@@ -240,6 +265,7 @@ SSLyze
SSO
SSP
SSRF
+SSV
SVG
SaaSBOM
Saad
@@ -288,6 +314,7 @@ VDR
VM
VPN
VPNs
+VSD
VWAD
Vandana
VerSprite
@@ -303,6 +330,7 @@ WHATWG
WPScan
WSTG
Wayfinder
+WebDAV
WebGoat
WebGoat's
WebHook
@@ -317,10 +345,13 @@ XML
XSS
XXE
YAML
+Yuuki
ZH
aSemy
ai
algorithmically
+alirezakkt
+allowlist
angularjs
api
architected
@@ -390,6 +421,7 @@ edumco
encodings
endif
enum
+eop
esapi
executables
exfiltrate
@@ -403,6 +435,7 @@ frontends
gamification
gamifies
gamify
+git
github
gitlab
gmail
@@ -419,6 +452,7 @@ integrations
intel
interoperate
io
+ip
iteratively
javascript
js
@@ -439,13 +473,13 @@ lychee
mastg
maswe
misconfiguration
+mlsec
mitigations
modsecurity
modularized
namespace
namespaces
nettacker
-newpage
nightlies
nist
npm
@@ -462,6 +496,7 @@ permalink
personalization
plaintext
pre
+printf
programmatically
proscriptive
px
@@ -492,10 +527,13 @@ skf
socio
soupsieve
stacktrace
+strcat
+strcpy
subcommand
subcommands
subdirectories
subdirectory
+svn
synchronizer
templating
testbed
@@ -503,8 +541,10 @@ testssl
threatspec
toolchain
transactional
+tunable
txt
typosquatting
+unencrypted
unforgeable
unicode
unkeyed
@@ -522,4 +562,4 @@ wrongsecrets
wstg
wtf
www
-xsaero
+xsaero
\ No newline at end of file
diff --git a/.wordlist-es.txt b/.wordlist-es.txt
new file mode 100644
index 00000000..737ccddc
--- /dev/null
+++ b/.wordlist-es.txt
@@ -0,0 +1,544 @@
+AAA
+accederse
+Adoptium
+AES
+ai
+AJAX
+algorítmicamente
+align
+amass
+Amass
+Analyser
+Analysis
+and
+And
+Android
+Ant
+API
+APIs
+APIT
+Application
+ARC
+Assurance
+ASVS
+Atlassian
+Attack
+audit
+AUTH
+automatizable
+Bean
+Benchmark
+Bill
+bin
+BOM
+BOMs
+BOV
+Breaker
+búfer
+búferes
+Buffers
+Builder
+canonicalización
+CAPEC
+catch
+categorizarse
+CBC
+CD
+CFB
+ChartMuseum
+Chat
+Cheat
+Check
+CI
+CIA
+Clickjacking
+Clobbering
+clústeres
+CMS
+CMSeeK
+code
+Code
+CODE
+com
+Common
+Compartmentalization
+compose
+Composition
+concientiza
+confiabilidad
+Connect
+contextualmente
+contramedidas
+Contras
+cookie
+cookies
+CPE
+Credential
+criptográficamente
+criptosistemas
+Cross
+crypto
+CRYPTO
+csp
+CSRF
+CSRFGuard
+CSS
+cstm
+CSV
+CTR
+CVE
+CVEs
+CVSS
+CWE
+Cyber
+CycloneDX
+dashboard
+DAST
+Database
+db
+deduplicación
+Defect
+DefectDojo
+Dependency
+desactualizadas
+desactualizado
+Desactualizados
+descargable
+desencriptación
+desencriptan
+desencriptar
+deserializa
+deserialización
+Deserialización
+deserializan
+despues
+development
+DevOps
+DevSecOps
+diagramación
+diagramática
+diagramáticos
+DIE
+Diffie
+Django
+DNS
+docker
+Docker
+DockerHub
+DocX
+doggo
+Dojo
+DOM
+DoS
+dot
+DotNet
+Dragon
+DrHEADer
+DRM
+DSS
+DVDs
+Dynamic
+ECB
+Elevation
+Elie
+Encoder
+encripta
+encriptación
+Encriptación
+encriptada
+encriptado
+encriptan
+encriptándolo
+end
+engagements
+Enterprise
+enum
+enumeracion
+Enumeration
+ePub
+ESAPI
+escalación
+escaneos
+evaluator
+Exchange
+exploit
+Exploit
+Exploitability
+exploits
+Explotabilidad
+Exposure
+facto
+ffuf
+findings
+FIPS
+firewall
+Flagship
+Flow
+for
+Fortify
+framework
+Framework
+frameworks
+Frameworks
+frontend
+gamifica
+gamificación
+Gasteratos
+GDPR
+Gestionabilidad
+Git
+github
+GitHub
+gitlab
+Gitleaks
+Go
+Gobernanza
+Google
+Gradle
+granularidad
+GraphQL
+Graphviz
+GRC
+Group
+guide
+Hack
+hackers
+HAPI
+hard
+hash
+hashes
+Hashes
+HBOM
+Headers
+Hellman
+Helm
+HOja
+hsecscan
+html
+HTML
+HTTP
+HTTPS
+humble
+Hunter
+IAM
+IAST
+IDOR
+image
+information
+Integration
+intel
+Interactive
+interoperabilidad
+interoperan
+iOS
+issue
+IV
+Janca
+jar
+JAR
+JavaEE
+Javascript
+JDK
+Jenkins
+Joomla
+js
+JSON
+JSR
+Juice
+JWT
+Kali
+KDF
+Keyczar
+Knowledge
+Kube
+Kubeaudit
+Kubernetes
+Ladders
+Laravel
+LDAP
+leaks
+learning
+left
+Left
+LFD
+library
+LINDDUN
+Link
+Lockheed
+Low
+Machine
+MacOS
+MACs
+Main
+malware
+Manejabilidad
+mapeos
+markdown
+Markdown
+MASTG
+MASVS
+MASWE
+Materials
+Matt
+Maturity
+Maven
+MBOM
+merges
+metadatos
+MFA
+Microservicios
+Microsoft
+ML
+MOBI
+Mobile
+model
+Model
+Modeling
+modularizada
+monitorear
+Monitorear
+monitoreo
+Monitoreo
+Mozilla
+MSTG
+multi
+Multi
+Multifactor
+multiplataforma
+Ncrack
+Nettacker
+NETWORK
+newpage
+Nexus
+Nikto
+NIST
+Nmap
+Node
+NodeJS
+NoSQL
+Nótese
+NPM
+Nuclei
+NVD
+OAuth
+OBOM
+Observatory
+of
+Of
+OFB
+Offensive
+on
+Open
+OpenAPI
+OpenCRE
+OpenID
+OpenJDK
+org
+organizacional
+organizacionales
+originadora
+OSHP
+OSS
+OTMP
+OWASP
+OWTF
+pandoc
+parametrización
+Parametrización
+parametrizadas
+parchar
+PCI
+PDF
+pentesters
+PHP
+pipelines
+PKI
+PlantUML
+Platform
+PLATFORM
+PLOT
+plugin
+Plugin
+plugins
+practical
+precompiladas
+preregistrada
+prevenibles
+priorización
+PRIVACY
+Privileges
+proactivamente
+proactivo
+Proactivo
+proactivos
+Proactivos
+programáticamente
+Project
+Protocol
+Proxy
+pull
+Purple
+python
+Python
+Pythónico
+pytm
+Pytm
+Rails
+RansomWare
+RC
+reautenticación
+Recx
+reelaborada
+ref
+refactorización
+referenciado
+regulatorios
+releases
+remediación
+Remediación
+remediaciones
+Repo
+Request
+requests
+RESILIENCE
+resiliencia
+REST
+right
+RRA
+RSA
+Ruby
+Rust
+Saad
+SaaSBOM
+salt
+SAML
+SAMM
+sandbox
+sanitización
+Sanitización
+sanitizadas
+Sanitizer
+SAST
+SBOM
+SBOMs
+SBT
+SCA
+Scan
+Scanner
+SCP
+Screenshooter
+script
+scripts
+SDLC
+Secure
+secureCodeBox
+security
+Security
+SecurityCAT
+SecurityHeaders
+SecurityRAT
+Semgrep
+serializados
+Serverless
+sh
+Sheets
+Shepherd
+shift
+Shift
+Shiro
+Shop
+Shostack
+sincronizador
+site
+Site
+SKF
+Slack
+Snakes
+Sonatype
+Spotlight
+Spring
+Spyros
+SQL
+SSDLC
+SSH
+SSL
+SSLyze
+SSO
+SSRF
+stack
+Standards
+Static
+STORAGE
+STRIDE
+Stuffing
+sub
+subcomandos
+subdominios
+Symfony
+tamano
+tambien
+TAME
+Tanya
+teams
+Teams
+testeadores
+Testing
+testssl
+The
+Threagile
+threat
+Threat
+threatspec
+Tink
+tipadas
+TLS
+to
+Tool
+Top
+TPM
+Track
+Trivy
+try
+tutorial
+Typo
+Ubuntu
+UE
+UEFI
+unicode
+URL
+URLs
+usabilidad
+Usabilidad
+UTF
+UUID
+Validation
+VDR
+Version
+VerSprite
+VEX
+video
+VM
+VPN
+VPNs
+Vulnerability
+Wayfinder
+We
+WebGoat
+Whatweb
+WHATWG
+width
+wiki
+Wikipedia
+Windows
+Word
+Wordpress
+Worldwide
+WPScan
+WSTG
+XML
+XS
+XSS
+XXE
+YAML
+ZAP
+Zed
diff --git a/.wordlist-pt-br.txt b/.wordlist-pt-br.txt
new file mode 100644
index 00000000..31a66b15
--- /dev/null
+++ b/.wordlist-pt-br.txt
@@ -0,0 +1,90 @@
+AAA
+align
+and
+API
+Application
+Applications
+Assurance
+Body
+bugs
+Cascading
+Cheat
+Clickjacking
+Clobbering
+Consortium
+Content
+Controls
+Credential
+Cross-site
+CSS
+CWE
+Cyber
+Database
+Deserialization
+DevOps
+DoS
+Exploit
+exploits
+firewall
+frameworks
+GitHub
+Headers
+HTML
+image-right-small
+Injection
+issue
+JSON
+JWTs
+Knowledge
+Language
+Large
+LDAP
+leaks
+Living
+LLM
+Low-Code
+Model
+NIST
+No-Code
+Of
+Open
+OpenCRE
+our
+OWASP
+path
+Policy
+Privacy
+Proactive
+Project
+queries
+right
+Risks
+SAMM
+Schools
+scripts
+Securing
+Security
+Serverless
+Sheet
+Sheets
+SQL
+SSRF
+Standard
+Strict
+Stuffing
+Style
+Ten
+The
+Token
+Transport
+traversal
+upload
+Upload
+URLs
+VPN
+Wayfinder
+WHATWG
+width
+Worldwide
+XSS
+XXE
diff --git a/README.md b/README.md
index c6f5582e..378a4f61 100644
--- a/README.md
+++ b/README.md
@@ -3,6 +3,7 @@
[](license.txt)
[](https://www.owasp.org/projects)
[][build]
+[](https://www.bestpractices.dev/projects/9373)
## OWASP Foundation Developer Guide
diff --git a/contributing.md b/contributing.md
index cf33a192..fd0344ad 100644
--- a/contributing.md
+++ b/contributing.md
@@ -1,5 +1,3 @@
-
-
## Contributing
The Developer Guide has been updated for the modern security landscape,
@@ -8,7 +6,7 @@ and then suggesting where more in-depth information can be found.
The project has a team of leaders that oversee the project
and contributions from members of the security community are positively encouraged.
-Refer to the The [OWASP project page][project] for the latest information and releases.
+Refer to the The [OWASP project page][project] for the latest information.
All contributions and suggestions are certainly welcome, and we ask that
you follow the [contributing Code of Conduct][conduct].
@@ -19,10 +17,14 @@ Feel free to discuss topics in the [project wiki][wiki] and create new discussio
### Ground rules
* follow our [Code of Conduct](code_of_conduct.md)
-* ensure that all contributions meet the [license](license.txt)
-* the use of generative AI is not prohibited but must be declared in the pull request
+* ensure that all contributions are within the [license](license.txt)
+* although the use of generative AI is not prohibited, it _must_ be declared in the pull request
+
+The Developer Guide is a documentation project and so there may be differences of opinion on wording or punctuation.
+If you submit a pull request please make it substantive, otherwise
+it will be hard to get attention from the maintainers for trivial changes and it may end up being rejected.
-### Philosophy
+#### Philosophy
The Developer Guide does not seek to duplicate the information contained in the many OWASP documentation projects;
these projects address their subject fully and completely.
@@ -33,7 +35,7 @@ and then refer the developer to further reading for more in-depth treatment of t
As a rule of thumb, if a section is more than two pages then it is probably too long;
split the section up or refer to another more detailed project.
-### Etiquette
+#### Etiquette
Github issues are used to coordinate contributions and keep track of progress towards each milestone:
@@ -49,18 +51,19 @@ The Developer Guide will have many contributors, and it is an aim to keep the st
Follow the style used in OWASP flagship projects [ASVS][asvs] and [WSTG][wstg],
which is speaking from first person plural and semi-formal in tone.
-### Technical level
+#### Technical level
Generally the guide is aimed at the introductory to medium technical levels,
and should rarely deal with any subject at an advanced level.
This is a deliberate policy that makes the guide accessible and keeps the length reasonable.
The overview/introduction of the main sections should be aimed at the introductory level,
-with more detail contained in the sub-sections at a medium technical level.
+with more detail at a medium technical level contained in any sections that follow.
+
Note this guide should not replicate the many detailed sources on specific security topics;
-instead provide links to these specialist security knowledge bases.
+instead provide links to any specialist security knowledge bases and refer the user to them.
-### Page structure
+#### Page structure
Each sub-section should deal with one specific subject, for example 'Threat modeling',
or a single project such as the OWASP 'Threat Dragon' Builder/Tool project.
@@ -81,10 +84,24 @@ Sub-sections that describe an individual project should follow the same structur
Note that the page describing a project should not be the same as the project documentation on the OWASP site,
the Developer Guide should strive to be a ' TL;DR ' for the project running to one or maybe two pages.
+### Translations
+
+The OWASP Developer Guide aims to be accessible,
+and translations help to make is a useful resource for the global AppSec community.
+
+There are translations in progress:
+
+* [Spanish][es] lead translator Roxana Calderon
+* [Farsi][fa] lead translator alirezakkt
+* [Brazilian Portuguese][pt-br] lead translator Amauri Bizerra
+* [Japanese][ja] lead translator Yuuki Ebihara
+
+If you can help with these translations then please contact the lead translator or the DevGuide project leaders.
+
### Media kit
The OWASP projects have [media kits][media] that contain biographies of the project leaders and other project media.
-This can be used for logos and marketing material.
+Please use the project media for any logos and marketing material.
### Pull requests
@@ -92,21 +109,7 @@ The pull requests have checks applied to them:
1. Link checker for any broken links; if there is an imperative for a broken link then add it to `.lycheeignore`
2. Markdown lint that ensures the markdown is consistent and valid
-3. Spell checker; new words that are not recognized should be added to `/.wordlist.txt`
-
-### Running checks locally
-
-The pipeline will apply checks to all pull-requests, and will fail on any error.
-To run these checks locally before pushing a commit, run these commands from the top directory:
-
-1. Link checker: `lychee --max-retries 1 './**/*.md' '*.md'`
-2. Markdown linter: `markdownlint-cli2 **/*.md`
-3. Spell checker: `pyspelling --config .spellcheck-en.yaml` (for English language version)
-
-Follow instructions to install the command line [lychee][lychee-install] and [pandoc][pandoc-install].
-
-To install `markdownlint-cli2` use npm: `npm install markdownlint-cli2 --global`,
-and to install `pyspelling` use pip: `pip install pyspelling`
+3. Spell checker; new words that are not recognized should be added to `.wordlist.txt`
### Running web document locally
@@ -114,23 +117,41 @@ Test the web document locally before creating / updating a pull request.
#### Windows
-On Windows install python and then install packages using pip:
+On Windows install python and then install packages using pip :
+
+```text
+python3 -m pip install mkdocs-open-in-new-tab
+python3 -m pip install mkdocs-material
+python3 -m pip install mkdocs
+python3 -m pip install mkdocs-with-pdf
+```
+
+Copy these files into `docs\` for the contributing pages :
-* `python3 -m pip install mkdocs-open-in-new-tab`
-* `python3 -m pip install mkdocs-material`
-* `python3 -m pip install mkdocs`
+* `code_of_conduct.md`
+* `contributing.md`
+* `license.txt`
Run the docs server and observe the document at `http://127.0.0.1:8000/` :
* `python3 -m mkdocs serve`
-To generate site content for deployment build the web document with:
+To generate site content for deployment build the web document with :
-* `python3 -m mkdocs build`
+* `python3 -m mkdocs build --config-file mkdocs-pdf-en.yaml`
+
+To create the PDF export in folder `site` :
+
+* `python3 -m mkdocs build --config-file mkdocs-pdf-en.yaml`
+
+and for PDFs in other languages :
+
+* `python3 -m mkdocs build --config-file mkdocs-pdf-es.yaml`
+* `python3 -m mkdocs build --config-file mkdocs-pdf-pt-br.yaml`
#### Linux / MacOS
-On Linux or MacOS install the packages using python's pip:
+On Linux or MacOS install the packages using python's pip :
```text
pip install mkdocs
@@ -139,17 +160,50 @@ pip install mkdocs-open-in-new-tab
pip install mkdocs-with-pdf
```
+Add some symbolic links for the contributing pages :
+
+```text
+ln -s ../code_of_conduct.md docs/code_of_conduct.md
+ln -s ../contributing.md docs/contributing.md
+ln -s ../license.txt docs/license.txt
+```
+
Run the docs server and observe the document at `http://127.0.0.1:8000/` :
* `mkdocs serve`
Any changes to the markdown files are detected by the server and the site will rebuild.
-To generate site content build the web document with:
+To generate site content build the web document with :
* `mkdocs build`
-This will also create the PDF export at `site/OWASP_Developer_Guide.pdf`.
+To create the PDF export file `site/OWASP_Developer_Guide.pdf` :
+
+* `mkdocs build --config-file mkdocs-pdf-en.yaml`
+
+and for PDFs in other languages :
+
+* `mkdocs build --config-file mkdocs-pdf-es.yaml`
+* `mkdocs build --config-file mkdocs-pdf-pt-br.yaml`
+
+### Running checks locally
+
+The pipeline will apply checks to all pull-requests, and will fail on any error.
+To run these checks locally before pushing a commit, use these commands from the top directory:
+
+1. Link checker: `lychee --max-retries 1 './**/*.md' '*.md'`
+2. Markdown linter: `markdownlint-cli2 **/*.md`
+3. Spell checker: `pyspelling --config .spellcheck-en.yaml` for English language version
+4. Spell check other versions:
+ 1. Spanish: `pyspelling --config .spellcheck-en.yaml`
+ 2. Brazilian Portuguese: `pyspelling --config .spellcheck-pt-br.yaml`
+5. Site consistency: `mkdocs build`
+
+Follow instructions to install the command line [lychee][lychee-install] and [pandoc][pandoc-install].
+
+To install `markdownlint-cli2` use npm: `npm install markdownlint-cli2 --global`,
+and to install `pyspelling` use pip: `pip install pyspelling`
----
@@ -157,11 +211,15 @@ OWASP DevGuide: _accessible security for developers_
[asvs]: https://owasp.org/www-project-application-security-verification-standard/
[conduct]: code_of_conduct.md
+[es]: https://github.com/OWASP/DevGuide/tree/main/docs/es
+[fa]: https://github.com/OWASP/DevGuide/tree/main/docs/fa
+[ja]: https://github.com/OWASP/DevGuide/tree/main/docs/ja
[issues]: https://github.com/OWASP/DevGuide/issues/new/choose
[lychee-install]: https://lychee.cli.rs/
[media]: https://drive.google.com/drive/folders/1Ft8Ll0cgw0TIoub6aXTIJDmy0sk1RarU
[pandoc-install]: https://pandoc.org/installing.html
[project]: https://owasp.org/www-project-developer-guide/
+[pt-br]: https://github.com/OWASP/DevGuide/tree/main/docs/pt-br
[request]: https://github.com/OWASP/DevGuide/pulls
[wiki]: https://github.com/OWASP/DevGuide/wiki
[wstg]: https://owasp.org/www-project-web-security-testing-guide/
diff --git a/docs/04-design/02-web-app-checklist/06-digital-identity.md b/docs/04-design/02-web-app-checklist/06-digital-identity.md
deleted file mode 100644
index 5b62f3d6..00000000
--- a/docs/04-design/02-web-app-checklist/06-digital-identity.md
+++ /dev/null
@@ -1,102 +0,0 @@
-[Authentication][csauthn] is the process of verifying that an individual or entity is who they claim to be.
-Session management is a process by which a server maintains the state of the users authentication
-so that the user may continue to use the system without re-authenticating.
-
-Refer to proactive control [C7: Implement Digital Identity][control7] and its [cheatsheets][csproactive-c6]
-for more context from the OWASP Top 10 Proactive Controls project,
-and use the list below as suggestions for a checklist that has been tailored for the individual project.
-
-#### 1. Authentication
-
-1. Design access control authentication thoroughly up-front
-2. Force all requests to go through access control checks unless public
-3. Do not hard code access controls that are role based
-4. Log all access control events
-5. Use [Multi-Factor Authentication][csmfa] (MFA) for sensitive or high value transactional accounts
-
-#### 2. Passwords
-
-1. Require authentication for all pages and resources, except those specifically intended to be public
-2. All authentication controls must be enforced on a trusted system
-3. Establish and utilize standard, tested, authentication services whenever possible
-4. Use a centralized implementation for all authentication controls
-5. Segregate authentication logic from the resource being requested and
- use redirection to and from the centralized authentication control
-6. All authentication controls should fail securely
-7. Administrative and account management must be at least as secure as the primary authentication mechanism
-8. If your application manages a credential store, use cryptographically strong one-way salted hashes
-9. Password hashing must be implemented on a trusted system
-10. Validate the authentication data only on completion of all data input
-11. Authentication failure responses should not indicate which part of the authentication data was incorrect
-12. Utilize authentication for connections to external systems that involve sensitive information or functions
-13. Authentication credentials for accessing services external to the application should be stored in a secure store
-14. Use only HTTP POST requests to transmit authentication credentials
-15. Always send non-temporary passwords over an encrypted connection or as encrypted data
-16. Enforce password complexity and length requirements established by policy or regulation
-17. Enforce account disabling after an established number of invalid login attempts
-18. Password reset and changing operations require the same level of controls as account creation and authentication
-19. Password reset questions are deprecated, see [Choosing and Using Security Questions Cheat Sheet][csquestions] as to why
-20. If using email based resets, only send email to a pre-registered address with a temporary link/password
-21. Temporary passwords and links should have a short expiration time
-22. Enforce the changing of temporary passwords on the next use
-23. Notify users when a password reset occurs
-24. Prevent password re-use
-25. The last use (successful or unsuccessful) of a user account should be reported to the user
- at their next successful login
-26. Change all vendor-supplied default passwords and user IDs or disable the associated accounts
-27. Re-authenticate users prior to performing critical operations
-28. If using third party code for authentication inspect the code carefully
- to ensure it is not affected by any malicious code
-
-#### 3. Cryptographic based authentication
-
-1. Use the server or framework's session management controls
-2. Session identifier creation must always be done on a trusted system
-3. Session management controls should use well vetted algorithms that ensure sufficiently random session identifiers
-4. Set the domain and path for cookies containing authenticated session identifiers
- to an appropriately restricted value for the site
-5. Logout functionality should fully terminate the associated session or connection
-6. Logout functionality should be available from all pages protected by authorization
-7. Establish a session inactivity timeout that is as short as possible,
- based on balancing risk and business functional requirements
-8. Disallow persistent logins and enforce periodic session terminations, even when the session is active
-9. If a session was established before login, close that session and establish a new session after a successful login
-10. Generate a new session identifier on any re-authentication
-11. Do not allow concurrent logins with the same user ID
-12. Do not expose session identifiers in URLs, error messages or logs
-13. Implement appropriate access controls to protect server side session data
- from unauthorized access from other users of the server
-14. Generate a new session identifier and deactivate the old one periodically
-15. Generate a new session identifier if the connection security changes from HTTP to HTTPS,
- as can occur during authentication
-16. Set the `secure` attribute for cookies transmitted over an [TLS][tls] connection
-17. Set cookies with the `HttpOnly` attribute,
- unless you specifically require client-side scripts within your application to read or set a cookie value
-
-#### References
-
-* OWASP [Cheat Sheet: Authentication][csauthn]
-* OWASP [Cheat Sheet: Choosing and Using Security Questions][csquestions]
-* OWASP [Cheat Sheet: Forgot Password][csforgot]
-* OWASP [Cheat Sheet: Multifactor Authentication][csmfa]
-* OWASP [Cheat Sheet: Password Storage][cspass]
-* OWASP [Cheat Sheet: Session Management][cssession]
-* OWASP [Top 10 Proactive Controls][proactive10]
-
-----
-
-The OWASP Developer Guide is a community effort; if there is something that needs changing
-then [submit an issue][issue060206] or [edit on GitHub][edit060206].
-
-[csproactive-c6]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c6-implement-digital-identity
-[control7]: https://top10proactive.owasp.org/the-top-10/c7-secure-digital-identities/
-[csauthn]: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet
-[csmfa]: https://cheatsheetseries.owasp.org/cheatsheets/Multifactor_Authentication_Cheat_Sheet
-[cspass]: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet
-[csforgot]: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet
-[cssession]: https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet
-[csquestions]: https://cheatsheetseries.owasp.org/cheatsheets/Choosing_and_Using_Security_Questions_Cheat_Sheet
-[edit060206]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/02-web-app-checklist/06-digital-identity.md
-[issue060206]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/06-digital-identity
-[proactive10]: https://top10proactive.owasp.org
-[tls]: https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Security_Cheat_Sheet
diff --git a/docs/04-design/02-web-app-checklist/07-access-controls.md b/docs/04-design/02-web-app-checklist/07-access-controls.md
deleted file mode 100644
index 3dd438ed..00000000
--- a/docs/04-design/02-web-app-checklist/07-access-controls.md
+++ /dev/null
@@ -1,45 +0,0 @@
-Access Control or [Authorization][csauthz] is the process of granting or denying specific requests
-from a user, program, or process.
-
-Refer to proactive control [C1: Implement Access Controls][control1] and its [cheatsheets][csproactive-c7]
-for more context from the OWASP Top 10 Proactive Controls project,
-and use the list below as suggestions for a checklist that has been tailored for the individual project.
-
-#### 1. Authorization
-
-1. Design access control / authorization thoroughly up-front
-2. Force all requests to go through access control checks unless public
-3. Deny by default; if a request is not specifically allowed then it is denied
-4. Apply least privilege, providing the least access as is necessary
-5. Log all authorization events
-
-#### 2. Access control
-
-1. Enforce authorization controls on every request
-2. Use only trusted system objects for making access authorization decisions
-3. Use a single site-wide component to check access authorization
-4. Access controls should fail securely
-5. Deny all access if the application cannot access its security configuration information
-6. Segregate privileged logic from other application code
-7. Limit the number of transactions a single user or device can perform in a given period of time,
- low enough to deter automated attacks but above the actual business requirement
-8. If long authenticated sessions are allowed, periodically re-validate a user's authorization
-9. Implement account auditing and enforce the disabling of unused accounts
-10. The application must support termination of sessions when authorization ceases
-
-#### References
-
-* OWASP [Cheat Sheet: Authorization][csauthz]
-* OWASP [Top 10 Proactive Controls][proactive10]
-
-----
-
-The OWASP Developer Guide is a community effort; if there is something that needs changing
-then [submit an issue][issue060207] or [edit on GitHub][edit060207].
-
-[csproactive-c7]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c7-enforce-access-controls
-[control1]: https://top10proactive.owasp.org/the-top-10/c1-accesscontrol/
-[csauthz]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet
-[edit060207]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/02-web-app-checklist/07-access-controls.md
-[issue060207]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/07-access-controls
-[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/04-design/02-web-app-checklist/08-protect-data.md b/docs/04-design/02-web-app-checklist/08-protect-data.md
deleted file mode 100644
index 0e6fb9e4..00000000
--- a/docs/04-design/02-web-app-checklist/08-protect-data.md
+++ /dev/null
@@ -1,52 +0,0 @@
-Sensitive data such as passwords, credit card numbers, health records, personal information and business secrets
-require extra protection, particularly if that data falls under privacy laws (EU General Data Protection Regulation GDPR),
-financial data protection rules such as PCI Data Security Standard (PCI DSS) or other regulations.
-
-Refer to proactive control [C2: Use Cryptography the proper way][control2] and its [cheatsheets][csproactive-c8]
-for more context from the OWASP Top 10 Proactive Controls project,
-and use the list below as suggestions for a checklist that has been tailored for the individual project.
-
-#### 1. Data protection
-
-1. Classify data according to the level of sensitivity
-2. Implement appropriate access controls for sensitive data
-3. Encrypt data in transit
-4. Ensure secure communication channels are properly configured
-5. Avoid storing sensitive data when at all possible
-6. Ensure sensitive data at rest is cryptographically protected to avoid unauthorized disclosure and modification
-7. Purge sensitive data when that data is no longer required
-8. Store application-level secrets in a secrets vault
-9. Check that secrets are not stored in code, config files or environment variables
-10. Implement least privilege, restricting access to functionality, data and system information
-11. Protect all cached or temporary copies of sensitive data from unauthorized access
-12. Purge those temporary copies of sensitive data as soon as they are no longer required
-
-#### 2. Memory management
-
-1. Explicitly initialize all variables and data stores
-2. Check that any buffers are as large as specified
-3. Check buffer boundaries if calling the function in a loop and protect against overflow
-4. Specifically close resources, don't rely on garbage collection
-5. Use non-executable stacks when available
-6. Properly free allocated memory upon the completion of functions and at all exit points
-7. Overwrite any sensitive information stored in allocated memory at all exit points from the function
-8. Protect shared variables and resources from inappropriate concurrent access
-
-#### References
-
-* OWASP [Cheat Sheet: Cryptographic Storage][cscs]
-* OWASP [Cheat Sheet: Secrets Management][cssm]
-* OWASP [Top 10 Proactive Controls][proactive10]
-
-----
-
-The OWASP Developer Guide is a community effort; if there is something that needs changing
-then [submit an issue][issue060208] or [edit on GitHub][edit060208].
-
-[csproactive-c8]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c8-protect-data-everywhere
-[control2]: https://top10proactive.owasp.org/the-top-10/c2-crypto/
-[cscs]: https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet
-[cssm]: https://cheatsheetseries.owasp.org/cheatsheets/Secrets_Management_Cheat_Sheet
-[edit060208]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/02-web-app-checklist/08-protect-data.md
-[issue060208]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/08-protect-data
-[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/07-training-education/03-skf.md b/docs/07-training-education/03-skf.md
deleted file mode 100644
index 75cd1052..00000000
--- a/docs/07-training-education/03-skf.md
+++ /dev/null
@@ -1,59 +0,0 @@
-The [Security Knowledge Framework][skf] (SKF) is an expert system application that uses various open source projects
-to support development teams and security architects in building secure applications.
-The Security Knowledge Framework uses the OWASP [Application Security Verification Standard][asvs] (ASVS) with code examples
-to help developers in pre-development and post-development phases and create applications that are secure by design.
-
-Having been an OWASP flagship project for many years the SKF is now no longer within the OWASP organization;
-it will continue to be referenced in the OWASP Wayfinder and other OWASP projects
-because it is certainly a flagship project for any organization.
-
-#### What is the Security Knowledge Framework?
-
-The [SKF][skf] is a web application that is available from the [github repo][skfinstall].
-There is [a demo version][skfdemo] of SKF that is useful for exploring the multiple benefits of the SKF.
-Note that SKF is in a process of migrating to a [new repository][skfrepo] so the download link may change.
-
-The SKF provides training and guidance for application security:
-
-* Requirements [organizer][skfreqs]
-* Learning [courses][skfdemo]
-* Practice [labs][skflabs]
-* Documentation on [installing and using][skfdocs] the SKF
-
-#### Why use the SKF?
-
-The SKF provides both [learning courses][skfdemo] and [practice labs][skflabs]
-that are useful for development teams to practice secure coding skills.
-
-The following learning courses are available (as of December 2023):
-
-* Developing Secure Software (LFD121)
-* Understanding the OWASP Top 10 Security Threats (SKF100)
-* Secure Software Development: Implementation (LFD105x)
-
-and there are plans for more training courses.
-All of these courses (LFD121, SKF100 and LFD105x) are provided by the [Linux Foundation][linuxtraining].
-
-In addition to the training courses there are a wide range of practice labs (64 as of December 2023).
-
-#### How to use the SKF
-
-The easiest way to get started with the SKF training is to [try the online demo][skfdemo].
-This will provide access to the practice labs, the training courses and also to the requirements tool.
-
-----
-
-The OWASP Developer Guide is a community effort; if there is something that needs changing
-then [submit an issue][issue0903] or [edit on GitHub][edit0903].
-
-[asvs]: https://owasp.org/www-project-application-security-verification-standard/
-[edit0903]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/03-skf.md
-[issue0903]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2007-training-education/03-security-knowledge-framework
-[linuxtraining]: https://training.linuxfoundation.org/full-catalog/
-[skf]: https://www.securityknowledgeframework.org/
-[skfdemo]: https://secureby.design/
-[skfdocs]: https://skf.readme.io/docs/introduction
-[skfinstall]: https://github.com/blabla1337/skf-flask/releases
-[skflabs]: https://secureby.design/labs
-[skfrepo]: https://github.com/Security-Knowledge-Framework
-[skfreqs]: https://starfish-app-kd3eo.ondigitalocean.app/
diff --git a/docs/assets/images/logos/amass.png b/docs/assets/images/logos/amass.png
new file mode 100644
index 00000000..7a7b2c0f
Binary files /dev/null and b/docs/assets/images/logos/amass.png differ
diff --git a/docs/assets/images/logos/asvs.png b/docs/assets/images/logos/asvs.png
new file mode 100644
index 00000000..a26029ea
Binary files /dev/null and b/docs/assets/images/logos/asvs.png differ
diff --git a/docs/assets/images/logos/blt.png b/docs/assets/images/logos/blt.png
new file mode 100644
index 00000000..04696804
Binary files /dev/null and b/docs/assets/images/logos/blt.png differ
diff --git a/docs/assets/images/logos/oshp.png b/docs/assets/images/logos/oshp.png
new file mode 100644
index 00000000..606bbf2d
Binary files /dev/null and b/docs/assets/images/logos/oshp.png differ
diff --git a/docs/assets/images/logos/secure_headers.png b/docs/assets/images/logos/secure_headers.png
index 98903ff4..49bf423a 100644
Binary files a/docs/assets/images/logos/secure_headers.png and b/docs/assets/images/logos/secure_headers.png differ
diff --git a/docs/assets/images/logos/skf.png b/docs/assets/images/logos/skf.png
new file mode 100644
index 00000000..e23557ef
Binary files /dev/null and b/docs/assets/images/logos/skf.png differ
diff --git a/docs/assets/images/logos/top10_api.png b/docs/assets/images/logos/top10_api.png
new file mode 100644
index 00000000..24128482
Binary files /dev/null and b/docs/assets/images/logos/top10_api.png differ
diff --git a/docs/assets/images/logos/top10_proactive.png b/docs/assets/images/logos/top10_proactive.png
new file mode 100644
index 00000000..db0fb0fa
Binary files /dev/null and b/docs/assets/images/logos/top10_proactive.png differ
diff --git a/docs/02-foundations/01-security-fundamentals.md b/docs/en/02-foundations/01-security-fundamentals.md
similarity index 98%
rename from docs/02-foundations/01-security-fundamentals.md
rename to docs/en/02-foundations/01-security-fundamentals.md
index cb58914c..f5f828c1 100644
--- a/docs/02-foundations/01-security-fundamentals.md
+++ b/docs/en/02-foundations/01-security-fundamentals.md
@@ -3,7 +3,7 @@ This section aims to provide an introduction to fundamental principles that any
#### Software Assurance Maturity Model
-{ align=right width=250 }
+{ align=right width=250 }
The Software Assurance Maturity Model ([SAMM][samm]) provides context for the scope of software security
and the foundations of good security practice:
@@ -162,7 +162,7 @@ then [submit an issue][issue0401] or [edit on GitHub][edit0401].
[csxsleaks]: https://cheatsheetseries.owasp.org/cheatsheets/XS_Leaks_Cheat_Sheet
[csxssevade]: https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet
[csxxe]: https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet
-[edit0401]: https://github.com/OWASP/DevGuide/blob/main/docs/02-foundations/01-security-fundamentals.md
+[edit0401]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/01-security-fundamentals.md
[htmlliving]: https://html.spec.whatwg.org/multipage/
[issue0401]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/01-security-fundamentals
[nistvuln]: https://csrc.nist.gov/glossary/term/vulnerability
diff --git a/docs/02-foundations/02-secure-development.md b/docs/en/02-foundations/02-secure-development.md
similarity index 98%
rename from docs/02-foundations/02-secure-development.md
rename to docs/en/02-foundations/02-secure-development.md
index 123436bf..450700d9 100644
--- a/docs/02-foundations/02-secure-development.md
+++ b/docs/en/02-foundations/02-secure-development.md
@@ -20,7 +20,7 @@ These phases are revisited in a cyclic manner throughout the lifetime of the app
A notional Software Development LifeCycle (SDLC) is shown below, in practice there may be more or less phases
according to the processes adopted by the organization.
-{ align=right width=180 }
+{ align=right width=180 }
With the increasing number and sophistication of exploits against almost every application or business system,
most companies have adopted a secure Software Development LifeCycle (SDLC).
@@ -186,7 +186,7 @@ then [submit an issue][issue0402] or [edit on GitHub][edit0402].
[deptrack]: https://dependencytrack.org/
[devsecops]: https://owasp.org/www-project-devsecops-guideline/
[defectdojo]: https://www.defectdojo.org/
-[edit0402]: https://github.com/OWASP/DevGuide/blob/main/docs/02-foundations/02-secure-development.md
+[edit0402]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/02-secure-development.md
[esapi-project]: https://owasp.org/www-project-enterprise-security-api/
[github]: https://github.com/
[gitlab]: https://about.gitlab.com/
diff --git a/docs/02-foundations/03-security-principles.md b/docs/en/02-foundations/03-security-principles.md
similarity index 99%
rename from docs/02-foundations/03-security-principles.md
rename to docs/en/02-foundations/03-security-principles.md
index a4213f22..e32934da 100644
--- a/docs/02-foundations/03-security-principles.md
+++ b/docs/en/02-foundations/03-security-principles.md
@@ -191,8 +191,8 @@ then [submit an issue][issue0403] or [edit on GitHub][edit0403].
[csauthz]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet
[csproject]: https://owasp.org/www-project-cheat-sheets/
[did]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html#2-the-principle-of-defense-in-depth
-[issue0403]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/03-security-principles
+[edit0403]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/03-security-principles.md
[elp]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet.html#enforce-least-privileges
-[edit0403]: https://github.com/OWASP/DevGuide/blob/main/docs/02-foundations/03-security-principles.md
+[issue0403]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/03-security-principles
[sop]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html#1-the-principle-of-least-privilege-and-separation-of-duties
[spdcs]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet
diff --git a/docs/02-foundations/04-crypto-principles.md b/docs/en/02-foundations/04-crypto-principles.md
similarity index 99%
rename from docs/02-foundations/04-crypto-principles.md
rename to docs/en/02-foundations/04-crypto-principles.md
index 63a00b77..3df8c4ed 100644
--- a/docs/02-foundations/04-crypto-principles.md
+++ b/docs/en/02-foundations/04-crypto-principles.md
@@ -243,9 +243,9 @@ then [submit an issue][issue0404] or [edit on GitHub][edit0404].
[csoauth]: https://cheatsheetseries.owasp.org/cheatsheets/OAuth2_Cheat_Sheet
[csproject]: https://owasp.org/www-project-cheat-sheets/
[cscs]: https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet
+[edit0404]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/04-crypto-principles.md
[issue0404]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/04-crypto-principles
[kmcs]: https://cheatsheetseries.owasp.org/cheatsheets/Key_Management_Cheat_Sheet
-[edit0404]: https://github.com/OWASP/DevGuide/blob/main/docs/02-foundations/04-crypto-principles.md
[sscs]: https://cheatsheetseries.owasp.org/cheatsheets/SAML_Security_Cheat_Sheet
[spdcs]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet
[tls]: https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Security_Cheat_Sheet
diff --git a/docs/02-foundations/05-top-ten.md b/docs/en/02-foundations/05-top-ten.md
similarity index 98%
rename from docs/02-foundations/05-top-ten.md
rename to docs/en/02-foundations/05-top-ten.md
index eb756fb6..775a46ac 100644
--- a/docs/02-foundations/05-top-ten.md
+++ b/docs/en/02-foundations/05-top-ten.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The OWASP Top Ten is a very well known list of web application security risks,
and is included by the OWASP Software Assurance Maturity Model [(SAMM)][samm]
@@ -194,11 +194,11 @@ then [submit an issue][issue0405] or [edit on GitHub][edit0405].
[cstm]: https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet
[cwe284]: https://cwe.mitre.org/data/definitions/284.html
[data10]: https://owasp.org/www-project-data-security-top-10/
+[edit0405]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/05-top-ten.md
[exploit]: https://www.exploit-db.com/
[issue0405]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/05-top-ten
[lcnc10]: https://owasp.org/www-project-top-10-low-code-no-code-security-risks/
[mobile10]: https://owasp.org/www-project-mobile-top-10/
-[edit0405]: https://github.com/OWASP/DevGuide/blob/main/docs/02-foundations/05-top-ten.md
[privacy10]: https://owasp.org/www-project-top-10-privacy-risks/
[proactive10]: https://owasp.org/www-project-proactive-controls/
[samm]: https://owaspsamm.org/about/
diff --git a/docs/02-foundations/index.md b/docs/en/02-foundations/index.md
similarity index 78%
rename from docs/02-foundations/index.md
rename to docs/en/02-foundations/index.md
index cff9e25c..221808f6 100644
--- a/docs/02-foundations/index.md
+++ b/docs/en/02-foundations/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
There are various foundational concepts and terminology that are commonly used in software security.
Although many of these concepts are complex to implement and are based on heavy-duty theory,
@@ -17,8 +17,10 @@ security and development teams working together.
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0400].
+The OWASP Developer Guide is a community effort; if you see something that needs changing
+then [submit an issue][issue0400] or [edit on GitHub][edit0400].
[cbok]: https://www.cybok.org/
[culturegoal]: https://owasp.org/www-project-security-culture/stable/3-Goal_Setting_and_Security_Team_Collaboration/
-[issue0400]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/00-toc
+[edit0400]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/index.md
+[issue0400]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/index
diff --git a/docs/03-requirements/01-requirements.md b/docs/en/03-requirements/01-requirements.md
similarity index 98%
rename from docs/03-requirements/01-requirements.md
rename to docs/en/03-requirements/01-requirements.md
index 69dc0acc..622c048e 100644
--- a/docs/03-requirements/01-requirements.md
+++ b/docs/en/03-requirements/01-requirements.md
@@ -99,9 +99,9 @@ then [submit an issue][issue0501] or [edit on GitHub][edit0501].
[asvs]: https://owasp.org/www-project-application-security-verification-standard/
[csabuse]: https://cheatsheetseries.owasp.org/cheatsheets/Abuse_Case_Cheat_Sheet
+[edit0501]: https://github.com/OWASP/DevGuide/blob/main/docs/en/03-requirements/01-requirements.md
[issue0501]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2003-requirements/01-requirements
[mas]: https://mas.owasp.org/
-[edit0501]: https://github.com/OWASP/DevGuide/blob/main/docs/03-requirements/01-requirements.md
[proactive10]: https://owasp.org/www-project-proactive-controls/
[samm]: https://owaspsamm.org/about/
[sammdsr]: https://owaspsamm.org/model/design/security-requirements/
diff --git a/docs/03-requirements/02-risk.md b/docs/en/03-requirements/02-risk.md
similarity index 98%
rename from docs/03-requirements/02-risk.md
rename to docs/en/03-requirements/02-risk.md
index cd1ff846..96133f37 100644
--- a/docs/03-requirements/02-risk.md
+++ b/docs/en/03-requirements/02-risk.md
@@ -84,9 +84,9 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue0502] or [edit on GitHub][edit0502].
[cvss]: https://www.first.org/cvss/
+[edit0502]: https://github.com/OWASP/DevGuide/blob/main/docs/en/03-requirements/02-risk.md
[issue0502]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2003-requirements/02-risk
[nist]: https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final
-[edit0502]: https://github.com/OWASP/DevGuide/blob/main/docs/03-requirements/02-risk.md
[rra]: https://infosec.mozilla.org/guidelines/risk/rapid_risk_assessment.html
[rrm]: https://owasp.org/www-community/OWASP_Risk_Rating_Methodology
[rrs]: https://infosec.mozilla.org/guidelines/assessing_security_risk
diff --git a/docs/03-requirements/03-opencre.md b/docs/en/03-requirements/03-opencre.md
similarity index 97%
rename from docs/03-requirements/03-opencre.md
rename to docs/en/03-requirements/03-opencre.md
index d70e010d..9dad236a 100644
--- a/docs/03-requirements/03-opencre.md
+++ b/docs/en/03-requirements/03-opencre.md
@@ -1,4 +1,4 @@
-{ width=300 }
+{ width=300 }
The [Open Common Requirement Enumeration][opencre] (OpenCRE) is a catalog of security requirements:
enumerating security topics and providing links to various standards, cheat sheets and guides.
@@ -93,7 +93,7 @@ then [submit an issue][issue0503] or [edit on GitHub][edit0503].
[cweocre]: https://opencre.org/search/CWE
[cwe]: https://cwe.mitre.org/
[cwe1002]: https://www.opencre.org/node/standard/CWE/sectionid/1002
-[edit0503]: https://github.com/OWASP/DevGuide/blob/main/docs/03-requirements/03-opencre.md
+[edit0503]: https://github.com/OWASP/DevGuide/blob/main/docs/en/03-requirements/03-opencre.md
[intstand]: https://owasp.org/www-project-integration-standards/
[issue0503]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2003-requirements/03-opencre
[nist]: https://csrc.nist.gov/
diff --git a/docs/03-requirements/04-security-rat.md b/docs/en/03-requirements/04-security-rat.md
similarity index 98%
rename from docs/03-requirements/04-security-rat.md
rename to docs/en/03-requirements/04-security-rat.md
index 6d5eae7a..7fc4c901 100644
--- a/docs/03-requirements/04-security-rat.md
+++ b/docs/en/03-requirements/04-security-rat.md
@@ -98,7 +98,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue0504] or [edit on GitHub][edit0504].
[asvs]: https://owasp.org/www-project-application-security-verification-standard/
-[edit0504]: https://github.com/OWASP/DevGuide/blob/main/docs/03-requirements/04-security-rat.md
+[edit0504]: https://github.com/OWASP/DevGuide/blob/main/docs/en/03-requirements/04-security-rat.md
[issue0504]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2003-requirements/04-security-rat
[spotlight05]: https://youtu.be/HiaHXtzJ3DE
[scat]: https://securityrat.github.io/int_securitycat.html#securitycat
diff --git a/docs/03-requirements/05-asvs.md b/docs/en/03-requirements/05-asvs.md
similarity index 97%
rename from docs/03-requirements/05-asvs.md
rename to docs/en/03-requirements/05-asvs.md
index 1430363f..b6028baa 100644
--- a/docs/03-requirements/05-asvs.md
+++ b/docs/en/03-requirements/05-asvs.md
@@ -1,3 +1,5 @@
+{ align=right width=180 }
+
The [Application Security Verification Standard][asvs] (ASVS) is a long established OWASP flagship project,
and is widely used to suggest security requirements as well as the core verification of web applications.
@@ -95,7 +97,7 @@ then [submit an issue][issue0505] or [edit on GitHub][edit0505].
[asvsV13]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x21-V13-API.md#v13-api-and-web-service
[asvsV14]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x22-V14-Config.md#v14-configuration
[csasvs]: https://cheatsheetseries.owasp.org/IndexASVS.html
-[edit0505]: https://github.com/OWASP/DevGuide/blob/main/docs/03-requirements/05-asvs.md
+[edit0505]: https://github.com/OWASP/DevGuide/blob/main/docs/en/03-requirements/05-asvs.md
[issue0505]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2003-requirements/05-asvs
[spotlight19]: https://youtu.be/3puIavsZfAk
[srat]: https://owasp.org/www-project-securityrat/
diff --git a/docs/03-requirements/06-mas.md b/docs/en/03-requirements/06-mas.md
similarity index 95%
rename from docs/03-requirements/06-mas.md
rename to docs/en/03-requirements/06-mas.md
index 5bc4a643..3f53300d 100644
--- a/docs/03-requirements/06-mas.md
+++ b/docs/en/03-requirements/06-mas.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The OWASP [Mobile Application Security][masproject] (MAS) flagship project provides
industry standards for mobile application security.
@@ -58,7 +58,7 @@ then [submit an issue][issue0506] or [edit on GitHub][edit0506].
[csmas]: https://cheatsheetseries.owasp.org/cheatsheets/Mobile_Application_Security_Cheat_Sheet
[csmasvs]: https://cheatsheetseries.owasp.org/IndexMASVS
-[edit0506]: https://github.com/OWASP/DevGuide/blob/main/docs/03-requirements/06-mas.md
+[edit0506]: https://github.com/OWASP/DevGuide/blob/main/docs/en/03-requirements/06-mas.md
[issue0506]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2003-requirements/06-mas
[mas]: https://mas.owasp.org/
[masc]: https://mas.owasp.org/checklists/
diff --git a/docs/03-requirements/07-skf.md b/docs/en/03-requirements/07-skf.md
similarity index 62%
rename from docs/03-requirements/07-skf.md
rename to docs/en/03-requirements/07-skf.md
index 9c7765c2..844e0ecc 100644
--- a/docs/03-requirements/07-skf.md
+++ b/docs/en/03-requirements/07-skf.md
@@ -1,27 +1,24 @@
-The [Security Knowledge Framework][skf] (SKF) is an expert system application that uses various open source projects
-to support development teams and security architects in building secure applications.
-The SKF builds on the OWASP [Application Security Verification Standard][asvs] (ASVS)
-to help developers in both pre-development and post-development phases and create applications that are secure by design.
+{ align=right width=180 }
-Having been an OWASP flagship project for many years the SKF is now no longer within the OWASP organization;
-and it will continue to be referenced in the OWASP Wayfinder and other OWASP projects
+The [Security Knowledge Framework][skf] (SKF) is a system that draws on material in various
+open source projects to a context for development teams and security architects when building secure applications.
+
+Having been an OWASP flagship project for many years the SKF is now no longer an OWASP project;
+it continues to be referenced in the OWASP Wayfinder and other OWASP projects
because it is a flagship project for any organization.
#### What is the Security Knowledge Framework?
-The [SKF][skf] is a web application that is available from the [github repo][skfinstall].
-There is [a demo version][skfdemo] of SKF that is useful for exploring the multiple benefits of the SKF.
-Note that SKF is in a process of migrating to a [new repository][skfrepo] so the download link may change.
+The [SKF][skf] is a web application that provides context and training
+to help security architects identity security requirements.
+As their website puts it: "Training and guidance for doing AppSec right!"
+
+The SKF provides guidance for application security requirements using the [SKF Organizer][skfreqs].
-The SKF provides training and guidance for application security:
+The SKF builds on the OWASP [Application Security Verification Standard][asvs] (ASVS)
+to help developers in both pre-development and post-development phases and create applications that are secure by design.
-* Requirements [organizer][skfreqs]
-* Learning [courses][skfdemo]:
- * Developing Secure Software (LFD121)
- * Understanding the OWASP Top 10 Security Threats (SKF100)
- * Secure Software Development: Implementation (LFD105x)
-* Practice [labs][skflabs]
-* Documentation on [installing and using][skfdocs] the SKF
+Note that SKF is in a process of migrating to a [new repository][skfrepo] so the download links may change.
#### Why use the SKF for requirements?
@@ -44,6 +41,11 @@ The SKF organizes security requirements into various categories that provides a
#### How to use the SKF for requirements
+The demo version of SKF can be useful for exploring the multiple perspectives of the SKF,
+access the latest demo from the [main SKF site][skf].
+
+Follow the documentation on [installing and using][skfdocs] the SKF.
+
Visit the [requirements tool website][skfreqs] and select the relevant requirements from the various categories.
Export the selection to the format of your choice (Markdown, spreadsheet CSV or plain text)
and use this as a starting point for the application security requirements.
@@ -53,7 +55,6 @@ The OWASP Spotlight series provides an overview of the SKF: 'Project 7 - [Securi
#### References
* [Security Knowledge Framework][skf] (SKF)
-* [SKF courses and labs][skfdemo]
* [SKF requirements][skfreqs]
* OWASP [Application Security Verification Standard][asvs] (ASVS)
@@ -63,13 +64,10 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue0507] or [edit on GitHub][edit0507].
[asvs]: https://owasp.org/www-project-application-security-verification-standard/
-[edit0507]: https://github.com/OWASP/DevGuide/blob/main/docs/03-requirements/07-skf.md
+[edit0507]: https://github.com/OWASP/DevGuide/blob/main/docs/en/03-requirements/07-skf.md
[issue0507]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2003-requirements/07-skf
[skf]: https://www.securityknowledgeframework.org/
-[skfdemo]: https://secureby.design/
[skfdocs]: https://skf.readme.io/docs/introduction
-[skfinstall]: https://github.com/blabla1337/skf-flask/releases
-[skflabs]: https://secureby.design/labs
[skfrepo]: https://github.com/Security-Knowledge-Framework
-[skfreqs]: https://starfish-app-kd3eo.ondigitalocean.app/
+[skfreqs]: https://github.com/Security-Knowledge-Framework/SKF-requirements-tool
[spotlight07]: https://youtu.be/TFX_ZBy6lNY
diff --git a/docs/03-requirements/index.md b/docs/en/03-requirements/index.md
similarity index 83%
rename from docs/03-requirements/index.md
rename to docs/en/03-requirements/index.md
index 85d2d674..8c2f00a7 100644
--- a/docs/03-requirements/index.md
+++ b/docs/en/03-requirements/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
Security requirements are statements of
security functionality that ensure the different security properties of a software application are being satisfied.
@@ -22,9 +22,11 @@ In summary, security requirements exist to prevent the repeat of past security f
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0500].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0500] or [edit on GitHub][edit0500].
-[issue0500]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2003-requirements/00-toc
+[edit0500]: https://github.com/OWASP/DevGuide/blob/main/docs/en/03-requirements/index.md
+[issue0500]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2003-requirements/index
[samm]: https://owaspsamm.org/about/
[sammd]: https://owaspsamm.org/model/design/
[sammdsr]: https://owaspsamm.org/model/design/security-requirements/
diff --git a/docs/04-design/01-threat-modeling/01-threat-modeling.md b/docs/en/04-design/01-threat-modeling/01-threat-modeling.md
similarity index 98%
rename from docs/04-design/01-threat-modeling/01-threat-modeling.md
rename to docs/en/04-design/01-threat-modeling/01-threat-modeling.md
index 46fd6817..f2e7e354 100644
--- a/docs/04-design/01-threat-modeling/01-threat-modeling.md
+++ b/docs/en/04-design/01-threat-modeling/01-threat-modeling.md
@@ -4,7 +4,7 @@ Threat modeling is part of the [Threat Assessment][sammdta] security practice in
Much of the material in this section is drawn from the OWASP [Threat Model project][tmproject],
and the philosophy of this section tries to follow the [Threat Modeling Manifesto][tmmanifesto].
-{ width=250 }
+{ width=250 }
#### Overview
@@ -255,7 +255,7 @@ then [submit an issue][issue060101] or [edit on GitHub][edit060101].
[cstm]: https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet
[culturetm]: https://owasp.org/www-project-security-culture/stable/6-Threat_Modelling/
[eop]: https://shostack.org/games/elevation-of-privilege
-[edit060101]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/01-threat-modeling/01-threat-modeling.md
+[edit060101]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/01-threat-modeling/01-threat-modeling.md
[issue060101]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/01-threat-modeling/01-threat-modeling
[linddun]: https://linddun.org/
[nist-cvss]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
diff --git a/docs/04-design/01-threat-modeling/02-pytm.md b/docs/en/04-design/01-threat-modeling/02-pytm.md
similarity index 90%
rename from docs/04-design/01-threat-modeling/02-pytm.md
rename to docs/en/04-design/01-threat-modeling/02-pytm.md
index 09c697c1..bcdcc28d 100644
--- a/docs/04-design/01-threat-modeling/02-pytm.md
+++ b/docs/en/04-design/01-threat-modeling/02-pytm.md
@@ -1,15 +1,15 @@
-{ align=right width=180 }
+{ align=right width=180 }
The OWASP [pytm (Pythonic Threat Modeling)][pytmproject] project is a framework for threat modeling and its automation.
The goal of pytm is to shift threat modeling to the left, making threat modeling more automated and developer-centric.
-Pytm is an OWASP Lab Project with a community of contributors creating [regular releases][pytmreleases].
+Pytm is an OWASP Production Project with a community of contributors creating [regular releases][pytmreleases].
#### What is pytm?
-Pytm is a Java library that provides programmatic way of threat modeling;
+Pytm is a Python library that provides a programmatic way of threat modeling;
the application model itself is defined as a python3 source file and follows Python program syntax.
-Findings are included in the application model python program with threats defined as rows in an associated text file.
+Findings are included in a template-defined threat modeling report.
The threat file can be reused between projects and provides for accumulation of a knowledge base.
Using pytm the model and threats can be programmatically output as a [dot][graphvizdot] data flow diagram
@@ -59,7 +59,7 @@ The following tools and libraries need to be installed:
* Python 3.x
* [Graphviz][graphvizdot] package
-* Java, such as OpenJDK 10 or 11
+* Java, such as OpenJDK 10 or 11 (exclusively for the generation of the sequence diagram)
* the [PlantUML][plantumljar] executable JAR file
* and of course pytm itself: clone the [pytm project repo][pytmrepo]
@@ -90,13 +90,13 @@ mkdir -p tm
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue060102] or [edit on GitHub][edit060102].
+[edit060102]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/01-threat-modeling/02-pytm.md
[graphviz]: https://graphviz.org/
[graphvizdot]: https://graphviz.org/download/
[issue060102]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/01-threat-modeling/02-pytm
[pandoc]: https://pandoc.org/installing.html
[plantuml]: https://plantuml.com/
[plantumljar]: https://plantuml.com/download
-[edit060102]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/01-threat-modeling/02-pytm.md
[pytmrepo]: https://github.com/OWASP/pytm/
[pytmproject]: https://owasp.org/www-project-pytm/
[pytmexample]: https://github.com/OWASP/pytm/blob/master/tm.py
diff --git a/docs/04-design/01-threat-modeling/03-threat-dragon.md b/docs/en/04-design/01-threat-modeling/03-threat-dragon.md
similarity index 93%
rename from docs/04-design/01-threat-modeling/03-threat-dragon.md
rename to docs/en/04-design/01-threat-modeling/03-threat-dragon.md
index cb0733cb..80e135a9 100644
--- a/docs/04-design/01-threat-modeling/03-threat-dragon.md
+++ b/docs/en/04-design/01-threat-modeling/03-threat-dragon.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The OWASP [Threat Dragon][tdtm] project provides a diagrammatic tool for threat modeling
applications, APIs and software systems.
@@ -63,8 +63,8 @@ and GRC compliance purposes; from the threat model meta-data window click on the
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue060103] or [edit on GitHub][edit060103].
+[edit060103]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/01-threat-modeling/03-threat-dragon.md
[issue060103]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/01-threat-modeling/03-threat-dragon
-[edit060103]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/01-threat-modeling/03-threat-dragon.md
[tddemo]: https://www.threatdragon.com/#/
[tdcode]: https://github.com/OWASP/threat-dragon
[tddocker]: https://hub.docker.com/r/owasp/threat-dragon/tags
diff --git a/docs/04-design/01-threat-modeling/04-cornucopia.md b/docs/en/04-design/01-threat-modeling/04-cornucopia.md
similarity index 65%
rename from docs/04-design/01-threat-modeling/04-cornucopia.md
rename to docs/en/04-design/01-threat-modeling/04-cornucopia.md
index b6605c93..77525bd7 100644
--- a/docs/04-design/01-threat-modeling/04-cornucopia.md
+++ b/docs/en/04-design/01-threat-modeling/04-cornucopia.md
@@ -1,19 +1,30 @@
-{ align=right width=180 }
-
-OWASP Cornucopia is a card game used to help derive application security requirements
-during the software development life cycle.
-[Cornucopia][cornucopia] is an OWASP Lab project, and can be [downloaded][cornucopia-cards] from its project page.
+{ align=right width=180 }
+
+OWASP Cornucopia is a mechanism in the form of a card game to assist software development teams identify security
+requirements in Agile, conventional and formal development processes. It is language, platform and technology-agnostic.
+The idea behind Cornucopia is to help development teams, especially those using Agile methodologies, to identify application
+security requirements and develop security-based user stories.
+[Cornucopia][cornucopia] is an OWASP production project. The cards can be [downloaded][cornucopia-cards] and printed or
+[bought online][online] from its website.
+It is also possible to play OWASP Cornucopia online using the cornucopia game engine called [Copi][copi]. Using the
+[online game engine][copi], it is possible to play:
+
+* [OWASP Cornucopia Website App][start-game] to gamify threat modeling and requirement analysis for website apps
+* [OWASP Cornucopia Mobile App][start-game] to gamify threat modeling and requirement analysis for mobile apps
+* [Elevation of Privilege][eop] to do general threat modeling
+* [Elevation of MLSec][mlsec] for threat modeling applications that uses machine learning or Gen AI
+* [OWASP Cumulus][cumulus] for threat model cloud infrastructure
#### What is Cornucopia?
-Cornucopia provides a [set of cards][cornucopia-cards] designed to gamify threat modeling activities,
+Cornucopia provides a [set of cards][cornucopia-browser] designed to gamify threat modeling activities,
helping agile development teams to identify weaknesses in applications and then record remediations or requirements.
There are three versions of the Cornucopia deck of threat modeling cards:
* Website App Edition
* Mobile App Edition
-* Enterprise App Edition
+* Enterprise App Edition (legacy)
The decks come with several suits according to the application, and always contain an overall 'Cornucopia' suit.
@@ -36,13 +47,11 @@ Vulnerabilities are arranged in domains as five suits with the additional Cornuc
To provide context the Cornucopia Website App cards reference other projects:
* OWASP Application Security Verification Standard ([ASVS][asvs])
-* OWASP Secure Coding Practices ([SCP][scp-v21]]) quick reference guide
-* OWASP [AppSensor][appsensor]
+* OWASP Developer Guide ([Web Application Checklist][devguide])
+* STRIDE
* MITRE's Common Attack Pattern Enumeration and Classification ([CAPEC][capec])
* [SAFEcode][safecode]
-The SCP quick reference guide has now been incorporated as part of this [Developer Guide](../02-web-app-checklist/index.md).
-
#### Mobile App Edition
Similarly to the website application deck, the mobile application deck has five domains/suits,
@@ -79,7 +88,8 @@ The outcome of the game is to identify possible threats and propose remediations
#### How to use Cornucopia
The OWASP Spotlight series provides an excellent overview of Cornucopia and how it can be used for gamification:
-'Project 16 - [Cornucopia][spotlight16]'.
+'Project 16 - [Cornucopia][spotlight16]'. [Videos on the OWASP Cornucopia website][cornucopia-play] also demonstrate several
+ways the game can be utilized.
Ideally Cornucopia is played in person using physical cards,
with the development team and security architects in the same room.
@@ -103,32 +113,37 @@ as well as having a good time.
#### References
-* [AppSensor][appsensor]
* Application Security Verification Standard, [ASVS][asvs]
* Common Attack Pattern Enumeration and Classification, [CAPEC][capec]
* [Cornucopia][cornucopia]
* Mobile Application Security Verification Standard, [MASVS][masvs])
* Mobile Application Security Testing Guide, [MASTG][mastg])
-* [Secure Coding Practices][scp-v21] quick reference guide
* [SAFEcode][safecode]
* [Spotlight][spotlight16] on Cornucopia
+* OWASP Developer Guide ([Web Application Checklist][devguide])
----
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue060104] or [edit on GitHub][edit060104].
-[appsensor]: https://owasp.org/www-project-appsensor/
[asvs]: https://owasp.org/www-project-application-security-verification-standard/
[capec]: https://capec.mitre.org/
-[cornucopia]: https://owasp.org/www-project-cornucopia/
-[cornucopia-cards]: https://owasp.org/www-project-cornucopia#div-cards
+[cornucopia]: https://cornucopia.owasp.org
+[cornucopia-browser]: https://cornucopia.owasp.org/cards
+[cornucopia-cards]: https://cornucopia.owasp.org/printing#Current-printable-version
[cornucopia-score]: https://owasp.org/www-project-cornucopia/assets/files/Cornucopia-scoresheet.pdf
-[cornucopia-play]: https://owasp.org/www-project-cornucopia#div-play
-[edit060104]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/01-threat-modeling/04-cornucopia.md
+[cornucopia-play]: https://cornucopia.owasp.org/how-to-play
+[copi]: https://copi.owasp.org
+[cumulus]: https://github.com/OWASP/cumulus
+[eop]: https://github.com/adamshostack/eop
+[edit060104]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/01-threat-modeling/04-cornucopia.md
[issue060104]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2004-design/01-threat-modeling/04-cornucopia
[mastg]: https://mas.owasp.org/MASTG/
[masvs]: https://mas.owasp.org/MASVS/
+[mlsec]: https://github.com/kantega/elevation-of-mlsec
+[online]: https://cornucopia.owasp.org/webshop
[safecode]: https://safecode.org/
-[scp-v21]: https://owasp.org/www-project-secure-coding-practices-quick-reference-guide/assets/docs/OWASP_SCP_Quick_Reference_Guide_v21.pdf
+[devguide]: https://devguide.owasp.org/en/04-design/02-web-app-checklist
[spotlight16]: https://youtu.be/NesxjEGX58s
+[start-game]: https://copi.owasp.org/games/new
diff --git a/docs/04-design/01-threat-modeling/05-linddun-go.md b/docs/en/04-design/01-threat-modeling/05-linddun-go.md
similarity index 96%
rename from docs/04-design/01-threat-modeling/05-linddun-go.md
rename to docs/en/04-design/01-threat-modeling/05-linddun-go.md
index 6cfccd51..c4f16544 100644
--- a/docs/04-design/01-threat-modeling/05-linddun-go.md
+++ b/docs/en/04-design/01-threat-modeling/05-linddun-go.md
@@ -56,7 +56,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue060105] or [edit on GitHub][edit060105].
[cornucopia]: https://owasp.org/www-project-cornucopia/
-[edit060105]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/01-threat-modeling/05-linddun-go.md
+[edit060105]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/01-threat-modeling/05-linddun-go.md
[issue060105]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2004-design/01-threat-modeling/05-linddun-go
[linddun]: https://linddun.org/
[linddun-go]: https://linddun.org/go/
diff --git a/docs/04-design/01-threat-modeling/06-toolkit.md b/docs/en/04-design/01-threat-modeling/06-toolkit.md
similarity index 95%
rename from docs/04-design/01-threat-modeling/06-toolkit.md
rename to docs/en/04-design/01-threat-modeling/06-toolkit.md
index febc0aca..cbd79b81 100644
--- a/docs/04-design/01-threat-modeling/06-toolkit.md
+++ b/docs/en/04-design/01-threat-modeling/06-toolkit.md
@@ -49,7 +49,7 @@ then [submit an issue][issue060106] or [edit on GitHub][edit060106].
[asacs]: https://cheatsheetseries.owasp.org/cheatsheets/Attack_Surface_Analysis_Cheat_Sheet
[cstm]: https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet
[issue060106]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2004-design/01-threat-modeling/06-toolkit
-[edit060106]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/01-threat-modeling/06-toolkit.md
+[edit060106]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/01-threat-modeling/06-toolkit.md
[toolkit]: https://www.youtube.com/watch?v=KGy_KCRUGd4
[tmpb]: https://owasp.org/www-project-threat-modeling-playbook/
[tmproject]: https://owasp.org/www-project-threat-model/
diff --git a/docs/04-design/01-threat-modeling/index.md b/docs/en/04-design/01-threat-modeling/index.md
similarity index 77%
rename from docs/04-design/01-threat-modeling/index.md
rename to docs/en/04-design/01-threat-modeling/index.md
index eb67771c..bfda32db 100644
--- a/docs/04-design/01-threat-modeling/index.md
+++ b/docs/en/04-design/01-threat-modeling/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
Referring to the [Threat Modeling Cheat Sheet][cstm],
threat modeling is a structured approach to identifying and prioritizing potential threats to a system.
@@ -15,7 +15,9 @@ The outcomes from the threat modeling activities generally include:
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0601].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0601] or [edit on GitHub][edit0601].
[cstm]: https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet
-[issue0601]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/01-threat-modeling/00-toc
+[edit0601]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/01-threat-modeling/index.md
+[issue0601]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/01-threat-modeling/index
diff --git a/docs/04-design/02-web-app-checklist/01-define-security-requirements.md b/docs/en/04-design/02-web-app-checklist/01-define-security-requirements.md
similarity index 72%
rename from docs/04-design/02-web-app-checklist/01-define-security-requirements.md
rename to docs/en/04-design/02-web-app-checklist/01-define-security-requirements.md
index bb8c7096..1ed1f4ef 100644
--- a/docs/04-design/02-web-app-checklist/01-define-security-requirements.md
+++ b/docs/en/04-design/02-web-app-checklist/01-define-security-requirements.md
@@ -14,6 +14,21 @@ and use the lists below as suggestions for a checklist that has been tailored fo
5. The security configuration store for the application should be available in human readable form to support auditing
6. Isolate development environments from production and provide access only to authorized development and test groups
7. Implement a software change control system to manage and record changes to the code both in development and production
+8. Turn off directory listings
+9. Prevent accidentally accessible and sensitive pages from appearing in search engines using a robots.txt file,
+ the X-Robots-Tag response header or a robots html meta tag
+10. Disable unnecessary HTTP methods, such as WebDAV extensions. If an extended HTTP method that supports file handling is
+ required, utilize a well-vetted authentication mechanism
+11. Remove unnecessary information from HTTP response headers related to the OS, web-server version and application
+ frameworks unless implemented to confuse an attacker
+12. Ensure the .git, .svn folders or any source control metadata aren't deployed together alongside the application in away
+ that makes these directly accessible externally or indirectly through the application
+13. Do not store passwords, secrets, connection strings, key material, secret management integrations or other sensitive
+ information in clear text or in any non-cryptographically secure manner on the client, in source code, or build artifacts
+14. Remove or restrict access to internal application and system documentation (such as for internal APIs) as this can reveal
+ backend system or other useful information to attackers
+15. Restrict access to files or other resources, including those outside the application's direct control using an allow list
+ or the equivalent thereof.
#### 2. Cryptographic practices
@@ -60,7 +75,7 @@ then [submit an issue][issue060201] or [edit on GitHub][edit060201].
[asvs]: https://owasp.org/www-project-application-security-verification-standard/
[csproactive-c1]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c1-define-security-requirements
[control4]: https://top10proactive.owasp.org/the-top-10/c4-secure-architecture/
-[edit060201]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/02-web-app-checklist/01-define-security-requirements.md
+[edit060201]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/01-define-security-requirements.md
[issue060201]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/01-define-security-requirements
[mas]: https://mas.owasp.org/
[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/en/04-design/02-web-app-checklist/01-secure-by-default.md b/docs/en/04-design/02-web-app-checklist/01-secure-by-default.md
new file mode 100644
index 00000000..46543bd5
--- /dev/null
+++ b/docs/en/04-design/02-web-app-checklist/01-secure-by-default.md
@@ -0,0 +1,60 @@
+“Secure-by-Default” means products are resilient against prevalent exploitation techniques out of the box
+without additional charge. Software should start in a secure state without requiring extensive user configuration,
+ensuring the default settings are always the most secure option.
+
+Refer to proactive control [C5: Secure By Default Configurations][control5] and the
+[Infrastructure as Code Security Cheatsheet][csproactive-c5]
+for more context from the OWASP Top 10 Proactive Controls project,
+and use the lists below as suggestions for a checklist that has been tailored for the individual project.
+
+#### 1. System configuration (SC)
+
+1. Restrict applications, processes and service accounts to the least privileges possible
+2. Code which defines the infrastructure should follow the principle of least privilege.
+3. Remove all unnecessary functionality such as files, accounts, software, and demo capabilities
+4. Remove test code or any functionality not intended for production, prior to deployment
+5. The security configuration store for the application should be available in human readable form to support auditing
+6. Isolate development environments from production and provide access only to authorized development and test groups
+7. Implement a software change control system to manage and record changes to the code both in development and production
+8. Prevent accidentally accessible and sensitive pages from appearing in search engines using a robots.txt file,
+the
+ X-Robots-Tag response header or a robots html meta tag
+9. Disable unnecessary HTTP methods, such as WebDAV extensions. If an extended HTTP method that supports file handling is
+ required, utilize a well-vetted authentication mechanism
+10. Remove unnecessary information from HTTP response headers related to the OS, web-server version and application
+ frameworks unless implemented to confuse an attacker
+11. Ensure the .git, .svn folders or any source control metadata aren't deployed together alongside the application in
+ away that makes these directly accessible externally or indirectly through the application
+12. Do not store passwords, secrets, connection strings, key material, secret management integrations or other
+ sensitive information in clear text or in any non-cryptographically secure manner on the client, in source code, or build
+ artifacts
+13. Remove or restrict access to internal application and system documentation (such as for internal APIs) as this can
+ reveal backend system or other useful information to attackers
+
+#### 2. File management (FM)
+
+1. Turn off directory listings
+2. Do not save files in the same web context as the application
+3. Turn off execution privileges on file upload directories
+4. Ensure application files and resources are read-only
+5. Restrict access to files or other resources, including those outside the application's direct control using an allow list
+ or the equivalent thereof.
+
+#### 3. Cloud security (CS)
+
+1. Enforce JIT (Just-In-Time) access management
+2. Use security vetted container images that is scanned for package and component vulnerabilities and pulled from a private
+ container registry
+3. Utilize Infrastructure-as-Code templates for automated provisioning and configuration of your cloud and on-
+ premises infrastructure
+4. Utilize Policy-as-Code to enforce policies including privilege assignments
+
+----
+
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue060201] or [edit on GitHub][edit060201].
+
+[control5]: https://top10proactive.owasp.org/the-top-10/c5-secure-by-default/
+[csproactive-c5]: https://cheatsheetseries.owasp.org/cheatsheets/Infrastructure_as_Code_Security_Cheat_Sheet.html
+[edit060201]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/01-secure-by-default.md
+[issue060201]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/01-secure-by-default
diff --git a/docs/04-design/02-web-app-checklist/02-frameworks-libraries.md b/docs/en/04-design/02-web-app-checklist/02-frameworks-libraries.md
similarity index 83%
rename from docs/04-design/02-web-app-checklist/02-frameworks-libraries.md
rename to docs/en/04-design/02-web-app-checklist/02-frameworks-libraries.md
index 23480400..42a8b2c7 100644
--- a/docs/04-design/02-web-app-checklist/02-frameworks-libraries.md
+++ b/docs/en/04-design/02-web-app-checklist/02-frameworks-libraries.md
@@ -1,7 +1,7 @@
Secure coding libraries and software frameworks with embedded security help software developers guard against
security-related design and implementation flaws.
-Refer to proactive control [C4: Address Security from the Start][control4]
+Refer to proactive control [C6: Keep your Components Secure][control6]
and its [cheatsheets][csproactive-c2] for more context from the OWASP Top 10 Proactive Controls project.
For technology specific checklists refer to the appropriate OWASP Cheat Sheets:
@@ -33,21 +33,24 @@ and use them as the starting point for a checklist that is tailored for the tech
In addition consider the following extra checks for frameworks and libraries.
-#### 1. Security Frameworks and Libraries
+#### 1. Security frameworks and libraries (SFL)
1. Ensure servers, frameworks and system components are running the latest approved versions and patches
2. Use libraries and frameworks from trusted sources that are actively maintained and widely used
3. Review all secondary applications and third party libraries to determine business necessity
4. Validate safe functionality for all secondary applications and third party libraries
-5. Create and maintain an inventory catalog of all third party libraries using Software Composition Analysis (SCA)
+5. Create and maintain an inventory catalog of all third party libraries. It is recommended to automatically create
+ SBOMs (Software-Bill-Of-Materials) from within the build pipeline.
6. Proactively keep all third party libraries and components up to date
7. Reduce the attack surface by encapsulating the library and expose only the required behavior into your software
8. Use tested and approved managed code rather than creating new unmanaged code for common tasks
9. Utilize task specific built-in APIs to conduct operating system tasks
-10. Do not allow the application to issue commands directly to the Operating System
-11. Use checksums or hashes to verify the integrity of interpreted code, libraries, executables, and configuration files
-12. Restrict users from generating new code or altering existing code
-13. Implement safe updates using encrypted channels
+10. Use checksums or hashes to verify the integrity of interpreted code, libraries, executables, and configuration files
+11. Restrict users from generating new code or altering existing code
+12. Implement safe updates using encrypted channels
+13. Use cryptographic signatures when updating your code and ensure the package manager verify those signatures
+14. Use your SBOMs together with periodic or SCA tools to automatically detect well-known publicly disclosed vulnerabilities.
+15. integrate SCA tools in early stages of software development
#### References
@@ -83,8 +86,8 @@ then [submit an issue][issue060202] or [edit on GitHub][edit060202].
[cswebservice]: https://cheatsheetseries.owasp.org/cheatsheets/Web_Service_Security_Cheat_Sheet
[csxml]: https://cheatsheetseries.owasp.org/cheatsheets/XML_Security_Cheat_Sheet
[csproactive-c2]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c2-leverage-security-frameworks-and-libraries
-[control4]: https://top10proactive.owasp.org/the-top-10/c4-secure-architecture/
+[control6]: https://top10proactive.owasp.org/the-top-10/c6-use-secure-dependencies/
[dependency]: https://owasp.org/www-project-dependency-check/
-[edit060202]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/02-web-app-checklist/02-frameworks-libraries.md
+[edit060202]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/02-frameworks-libraries.md
[issue060202]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/02-frameworks-libraries
[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/04-design/02-web-app-checklist/03-secure-database-access.md b/docs/en/04-design/02-web-app-checklist/03-secure-database-access.md
similarity index 91%
rename from docs/04-design/02-web-app-checklist/03-secure-database-access.md
rename to docs/en/04-design/02-web-app-checklist/03-secure-database-access.md
index 6f12d786..bc1017e7 100644
--- a/docs/04-design/02-web-app-checklist/03-secure-database-access.md
+++ b/docs/en/04-design/02-web-app-checklist/03-secure-database-access.md
@@ -4,7 +4,7 @@ Refer to proactive control [C3: Validate all Input & Handle Exceptions][control3
for more context from the OWASP Top 10 Proactive Controls project,
and use the list below as suggestions for a checklist that has been tailored for the individual project.
-#### 1. Secure queries
+#### 1. Secure queries (SQ)
1. Use Query Parameterization to prevent untrusted input being interpreted as part of a SQL command
2. Use strongly typed parameterized queries
@@ -14,7 +14,7 @@ and use the list below as suggestions for a checklist that has been tailored for
6. Connection strings should not be hard coded within the application
7. Connection strings should be stored in a separate configuration file on a trusted system and they should be encrypted
-#### 2. Secure configuration
+#### 2. Secure database configuration (SDC)
1. The application should use the lowest possible level of privilege when accessing the database
2. Use stored procedures to abstract data access and allow for the removal of permissions to the base tables in the database
@@ -23,7 +23,7 @@ and use the list below as suggestions for a checklist that has been tailored for
5. Remove unnecessary default vendor content, for example sample schemas
6. Disable any default accounts that are not required to support business requirements
-#### 3. Secure authentication
+#### 3. Secure database authentication (SDA)
1. Remove or change all default database administrative passwords
2. The application should connect to the database with different credentials for every trust distinction
@@ -45,6 +45,6 @@ then [submit an issue][issue060203] or [edit on GitHub][edit060203].
[control3]: https://top10proactive.owasp.org/the-top-10/c3-validate-input-and-handle-exceptions/
[csdb]: https://cheatsheetseries.owasp.org/cheatsheets/Database_Security_Cheat_Sheet
[csquery]: https://cheatsheetseries.owasp.org/cheatsheets/Query_Parameterization_Cheat_Sheet
-[edit060203]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/02-web-app-checklist/03-secure-database-access.md
+[edit060203]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/03-secure-database-access.md
[issue060203]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/03-secure-database-access
[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/04-design/02-web-app-checklist/04-encode-escape-data.md b/docs/en/04-design/02-web-app-checklist/04-encode-escape-data.md
similarity index 75%
rename from docs/04-design/02-web-app-checklist/04-encode-escape-data.md
rename to docs/en/04-design/02-web-app-checklist/04-encode-escape-data.md
index e9470e9b..400887e6 100644
--- a/docs/04-design/02-web-app-checklist/04-encode-escape-data.md
+++ b/docs/en/04-design/02-web-app-checklist/04-encode-escape-data.md
@@ -5,21 +5,24 @@ The target system may be another software component or it may be reflected back
such as operating system commands,
so encoding and escaping output data helps to provide defense in depth for the system as a whole.
-Refer to proactive control [C3: Validate all Input & Handle Exceptions][control3] and its [cheatsheets][csproactive-c4]
+Refer to proactive control [C3: Validate all Input & Handle Exceptions][control3] and its [cheatsheets][csproactive-c4] and
+[C10: Stop Server Side Request Forgery][control10] together with
+[Server-Side Request Forgery Prevention Cheat Sheet][csproactive-c10]
for more context from the OWASP Top 10 Proactive Controls project,
and use the list below as suggestions for a checklist that has been tailored for the individual project.
-#### 1. Character encoding and canonicalization
+#### 1. Character encoding and canonicalization (CEC)
1. Apply output encoding just before the content is passed to the target system
2. Conduct all output encoding on a trusted system
3. Utilize a standard, tested routine for each type of outbound encoding
4. Specify character sets, such as UTF-8, for all outputs
-5. Apply canonicalization to convert unicode data into a standard form
+5. Apply canonicalization to convert unicode data into a standard form and address obfuscation attacks
6. Ensure the output encoding is safe for all target systems
7. In particular sanitize all output used for operating system commands
+8. Sanitize potentially dangerous characters before using the data to call another service
-#### 2. Contextual output encoding
+#### 2. Contextual output encoding (COE)
Contextual output encoding of data is based on how it will be utilized by the target.
The specific methods vary depending on the way the output data is used, such as HTML entity encoding.
@@ -39,8 +42,10 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue060204] or [edit on GitHub][edit060204].
[csproactive-c4]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c4-encode-and-escape-data
+[csproactive-c10]: https://cheatsheetseries.owasp.org/cheatsheets/Server_Side_Request_Forgery_Prevention_Cheat_Sheet.html
[control3]: https://top10proactive.owasp.org/the-top-10/c3-validate-input-and-handle-exceptions/
-[edit060204]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/02-web-app-checklist/04-encode-escape-data.md
+[control10]: https://top10proactive.owasp.org/the-top-10/c10-stop-server-side-request-forgery/
+[edit060204]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/04-encode-escape-data.md
[encoder]: https://www.owasp.org/index.php/OWASP_Java_Encoder_Project
[ipcs]: https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet
[issue060204]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/04-encode-escape-data
diff --git a/docs/04-design/02-web-app-checklist/05-validate-inputs.md b/docs/en/04-design/02-web-app-checklist/05-validate-inputs.md
similarity index 72%
rename from docs/04-design/02-web-app-checklist/05-validate-inputs.md
rename to docs/en/04-design/02-web-app-checklist/05-validate-inputs.md
index 9919efed..5d0794f6 100644
--- a/docs/04-design/02-web-app-checklist/05-validate-inputs.md
+++ b/docs/en/04-design/02-web-app-checklist/05-validate-inputs.md
@@ -8,7 +8,7 @@ Refer to proactive control [C3: Validate All Input & Handle Exceptions][control3
for more context from the OWASP Top 10 Proactive Controls project,
and use the list below as suggestions for a checklist that has been tailored for the individual project.
-#### 1. Syntax and semantic validity
+#### 1. Syntax and semantic validity (SSV)
1. Identify all data sources and classify them into trusted and untrusted
2. Validate all input data from untrusted sources such as client provided data
@@ -18,18 +18,19 @@ and use the list below as suggestions for a checklist that has been tailored for
6. Verify that protocol header values in both requests and responses contain only ASCII characters
7. Validate data from redirects
8. Validate data range and also data length
-9. Utilize canonicalization to address obfuscation attacks
-10. All validation failures should result in input rejection
+9. All validation failures should result in input rejection
+10. Validate all input against an allowlist of characters, whenever possible
-#### 2. Libraries and frameworks
+#### 2. Libraries and frameworks (LF)
1. Conduct all input validation on a trusted system [^SCP1]
2. Use a centralized input validation library or framework for the whole application
3. If the standard validation routine cannot address some inputs then use extra discrete checks
4. If any potentially hazardous input _must_ be allowed then implement additional controls
5. Validate for expected data types using an allow-list rather than a deny-list
+6. Do not allow the application to issue commands directly to the Operating System
-#### 3. Validate serialized data
+#### 3. Validate serialized data (VSD)
1. Implement integrity checks or encryption of the serialized objects
to prevent hostile object creation or data tampering
@@ -40,6 +41,18 @@ and use the list below as suggestions for a checklist that has been tailored for
5. Restrict or monitor incoming and outgoing network connectivity from containers or servers that deserialize
6. Monitor deserialization, for example alerting if a user agent constantly deserializes
+#### 4. File validation (FV)
+
+1. Do not pass user supplied data directly to any dynamic include function
+2. Limit the type of files that can be uploaded to only those types that are needed for business purposes
+3. Validate uploaded files are the expected type by checking file headers rather than by file extension
+4. Prevent or restrict the uploading of any file that may be interpreted by the web server.
+5. When referencing existing files, use an allow-list of allowed file names and types
+6. Do not pass user supplied data into a dynamic redirect
+7. Do not pass directory or file paths, use index values mapped to pre-defined list of paths
+8. Never send the absolute file path to the client
+9. Scan user uploaded files for viruses and malware
+
#### References
* OWASP [Cheat Sheet: Input Validation][ivcs]
@@ -56,7 +69,7 @@ then [submit an issue][issue060205] or [edit on GitHub][edit060205].
[csproactive-c5]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c5-validate-all-inputs
[control3]: https://top10proactive.owasp.org/the-top-10/c3-validate-input-and-handle-exceptions/
[ivcs]: https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet
-[edit060205]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/02-web-app-checklist/05-validate-inputs.md
+[edit060205]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/05-validate-inputs.md
[issue060205]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/05-validate-inputs
[proactive10]: https://top10proactive.owasp.org
[sanitizer]: https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer
diff --git a/docs/en/04-design/02-web-app-checklist/06-digital-identity.md b/docs/en/04-design/02-web-app-checklist/06-digital-identity.md
new file mode 100644
index 00000000..82abf152
--- /dev/null
+++ b/docs/en/04-design/02-web-app-checklist/06-digital-identity.md
@@ -0,0 +1,121 @@
+[Authentication][csauthn] is the process of verifying that an individual or entity is who they claim to be.
+Session management is a process by which a server maintains the state of the users authentication
+so that the user may continue to use the system without re-authenticating.
+
+Refer to proactive control [C7: Secure Digital Identities][control7] and its [cheatsheets][csproactive-c6]
+for more context from the OWASP Top 10 Proactive Controls project,
+and use the list below as suggestions for a checklist that has been tailored for the individual project.
+
+#### 1. Authentication (A)
+
+1. Require authentication for all pages and resources, except those specifically intended to be public
+2. Require authentication before allowing a file to be uploaded
+3. All authentication controls must be enforced on a trusted system
+4. All authentication controls should fail securely
+5. Establish and utilize standard, tested, authentication services whenever possible
+6. If using third party code for authentication inspect the code carefully
+ to ensure it is not affected by any malicious code
+7. Use a centralized implementation for all authentication controls
+8. Segregate authentication logic from the resource being requested and
+ use redirection to and from the centralized authentication control
+9. Administrative and account management must be at least as secure as the primary authentication mechanism
+10. Use [Multi-Factor Authentication][csmfa] (MFA) for sensitive or high value transactional accounts
+11. Re-authenticate users prior to performing critical operations
+12. Enforce account disabling after an established number of invalid login attempts, or add a random tunable
+ delay for authentication failures to defer brute force attacks and protect against timing attacks
+13. Utilize authentication for connections to external systems that involve sensitive information or functions
+14. Authentication credentials for accessing services external to the application should be stored in a secure store
+15. Use only HTTP POST requests to transmit authentication credentials
+16. Force all requests to go through access control checks unless public
+17. Log all access control events
+18. Validate the authentication data only on completion of all data input
+19. Authentication failure responses should not indicate which part of the authentication data was incorrect.
+ E.g. Through giving different textual response or HTTP response codes
+20. Authentication failure responses should not give away the existent of user accounts by allowing the response time to
+ differ, depending on whether a username exist or not. Use a DB transaction that looks for a fake user profile in case the
+ username doesn't exist
+
+#### 2. Passwords (P)
+
+1. If your application manages a credential store, use cryptographically strong one-way salted hashes
+2. Password hashing must be implemented on a trusted system
+3. Always send non-temporary passwords over an encrypted connection or as encrypted data
+4. Enforce password complexity and length requirements established by policy or regulation
+5. Password reset and changing operations require the same level of controls as account creation and authentication
+6. Password reset questions are deprecated, see [Choosing and Using Security Questions Cheat Sheet][csquestions] as to why
+7. If using email based resets, only send email to a pre-registered address with a temporary link/password
+8. Temporary passwords and links should have a short expiration time
+9. Enforce the changing of temporary passwords on the next use
+10. Notify users when a password reset occurs
+11. Prevent password re-use
+12. The last use (successful or unsuccessful) of a user account should be reported to the user
+ at their next successful login
+13. Change all vendor-supplied default passwords and user IDs or disable the associated accounts
+14. Password entry should be masked (e.g., on web forms use the input type "password") on the user's screen unless
+ temporarily made viewable by the user
+15. Ensure that no credentials are stored in clear text or are easily retrievable in encoded or encrypted forms in the
+ browser's storage mechanisms
+
+#### 3. Session Management (SM)
+
+1. Use the server or framework's session management controls
+2. Session identifier creation must always be done on a trusted system
+3. Session management controls should use well vetted algorithms that ensure sufficiently random session identifiers
+4. Set the domain and path for cookies containing authenticated session identifiers
+ to an appropriately restricted value for the site
+5. Logout functionality should fully terminate the associated session or connection
+6. Logout functionality should be available from all pages protected by authorization
+7. Establish a session inactivity timeout that is as short as possible,
+ based on balancing risk and business functional requirements
+8. Disallow persistent logins and enforce periodic session terminations, even when the session is active
+9. If a session was established before login, close that session and establish a new session after a successful login
+10. Generate a new session identifier on any re-authentication
+11. Do not expose session identifiers in URLs, error messages or logs
+12. Implement appropriate access controls to protect server side session data
+ from unauthorized access from other users of the server
+13. Generate a new session identifier and deactivate the old one periodically
+14. Generate a new session identifier if the connection security changes from HTTP to HTTPS,
+ as can occur during authentication
+15. Set the `secure` attribute for cookies transmitted over an [TLS][tls] connection
+16. Set cookies with the `HttpOnly` attribute,
+ unless you specifically require client-side scripts within your application to read or set a cookie value
+17. Ensure that the session id is long, unique and random, i.e., is of high entropy
+18. Generate a new session during authentication and re-authentication
+19. All active sessions must be terminated when a user account is disabled or deleted
+20. After a successful change or removal of any authentication factor give the option to terminate all other active sessions
+21. Implement an idle timeout after a period of inactivity and an absolute maximum lifetime for each session, after
+ which users must re-authenticate
+22. Supplement standard session management for sensitive server-side operations, like account management, by requiring and
+ validating anti-forgery tokens (CSRF tokens) for each request that may change application state or execute an action
+23. If long authenticated sessions are allowed, periodically re-validate a user's authorization
+24. The application must support termination of sessions when authorization ceases
+25. Application administrators should be able to terminate active sessions and authentication codes and -tokens, and users
+ should be able to terminate their active sessions
+
+#### References
+
+* OWASP [Cheat Sheet: Authentication][csauthn]
+* OWASP [Cheat Sheet: Choosing and Using Security Questions][csquestions]
+* OWASP [Cheat Sheet: Forgot Password][csforgot]
+* OWASP [Cheat Sheet: Multifactor Authentication][csmfa]
+* OWASP [Cheat Sheet: Password Storage][cspass]
+* OWASP [Cheat Sheet: Session Management][cssession]
+* OWASP [Top 10 Proactive Controls][proactive10]
+
+----
+
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue060206] or [edit on GitHub][edit060206].
+
+[csproactive-c6]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c6-implement-digital-identity
+[control7]: https://top10proactive.owasp.org/the-top-10/c7-secure-digital-identities/
+[csauthn]: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet
+[csmfa]: https://cheatsheetseries.owasp.org/cheatsheets/Multifactor_Authentication_Cheat_Sheet
+[cspass]: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet
+[csforgot]: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet
+[cssession]: https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet
+[csquestions]: https://cheatsheetseries.owasp.org/cheatsheets/Choosing_and_Using_Security_Questions_Cheat_Sheet
+[edit060206]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/06-digital-identity.md
+[issue060206]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/06-digital-identity
+[proactive10]: https://top10proactive.owasp.org
+[tls]: https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Security_Cheat_Sheet
diff --git a/docs/en/04-design/02-web-app-checklist/07-access-controls.md b/docs/en/04-design/02-web-app-checklist/07-access-controls.md
new file mode 100644
index 00000000..1eb65b56
--- /dev/null
+++ b/docs/en/04-design/02-web-app-checklist/07-access-controls.md
@@ -0,0 +1,63 @@
+Access Control or [Authorization][csauthz] is the process of granting or denying specific requests
+from a user, program, or process.
+
+Refer to proactive control [C1: Implement Access Controls][control1] and its [cheatsheets][csproactive-c7]
+for more context from the OWASP Top 10 Proactive Controls project,
+and use the list below as suggestions for a checklist that has been tailored for the individual project.
+
+#### 1. Access control (AC)
+
+1. Design access control / authorization thoroughly up-front
+2. Force all requests to go through access control checks unless public
+3. Deny by default; if a request is not specifically allowed then it is denied
+4. Apply least privilege, providing the least access as is necessary
+5. Log all authorization events
+6. Create unit and integration test to document and verify an application's business rules, data types and access
+ authorization criteria and/or processes so that access can be properly provisioned and controlled for restricting
+ function-level, data-specific, and field-level access based on consumer permissions and resource attributes
+7. Access Control criteria and/or processes not testable through automated tests should be documented so that they
+ can be manually tested
+8. Use only trusted system objects for making access authorization decisions
+9. Use a single site-wide component to check authorization
+10. Access control should fail securely
+11. Deny all access if the application cannot access its security configuration information
+12. Segregate privileged logic from other application code
+13. Do not hard code access controls that are role based
+14. Enforce application logic flows to comply with business rules
+15. Server side implementation and presentation layer representations of access control rules should not differ in such a way
+ that they allow for business functionality and rules to be compromised
+
+#### 2. Access control management (ACM)
+
+1. Limit the number of transactions a single user or device can perform in a given period of time,
+ low enough to deter automated attacks but above the actual business requirement
+2. Implement account auditing and enforce the disabling of unused accounts
+3. A new account should have minimal or no access by default
+4. For highly sensitive accounts implement Just in Time (JIT), Just Enough Access (JEA) management and avoid the use
+ of admin accounts with global access
+5. Restrict function-level access to consumers with explicit permissions
+6. Restrict direct object references to only authorized users with explicit permissions to specific data items
+ to mitigate insecure direct object reference (IDOR) and broken object level authorization (BOLA)
+7. Restrict access to user and data attributes to consumers with explicit permissions to specific fields to mitigate broken
+ object property level authorization (BOPLA)
+8. Restrict access security-relevant configuration information to only authorized users who have been allowed access through
+ multiple layers of security, including continuous consumer identity verification, device security posture assessment, and
+ contextual risk analysis
+9. If the application must run with elevated privileges, raise privileges as late as possible, and drop as soon as possible
+
+#### References
+
+* OWASP [Cheat Sheet: Authorization][csauthz]
+* OWASP [Top 10 Proactive Controls][proactive10]
+
+----
+
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue060207] or [edit on GitHub][edit060207].
+
+[csproactive-c7]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c7-enforce-access-controls
+[control1]: https://top10proactive.owasp.org/the-top-10/c1-accesscontrol/
+[csauthz]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet
+[edit060207]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/07-access-controls.md
+[issue060207]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/07-access-controls
+[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/en/04-design/02-web-app-checklist/08-protect-data.md b/docs/en/04-design/02-web-app-checklist/08-protect-data.md
new file mode 100644
index 00000000..9a7a5beb
--- /dev/null
+++ b/docs/en/04-design/02-web-app-checklist/08-protect-data.md
@@ -0,0 +1,95 @@
+Sensitive data such as passwords, credit card numbers, health records, personal information and business secrets
+require extra protection, particularly if that data falls under privacy laws (EU General Data Protection Regulation GDPR),
+financial data protection rules such as PCI Data Security Standard (PCI DSS) or other regulations.
+
+Refer to proactive control [C2: Use Cryptography to Protect Data][control2] and its [cheatsheets][csproactive-c8]
+for more context from the OWASP Top 10 Proactive Controls project,
+and use the list below as suggestions for a checklist that has been tailored for the individual project.
+
+#### 1. Cryptographic practices (CP)
+
+1. Use peer reviewed and open solution cryptographic modules
+2. All cryptographic functions used to protect secrets from the application user must be implemented on a trusted system
+3. Cryptographic modules must fail securely
+4. Ensure all random elements such as numbers, file names, UUID and strings are generated
+ using the cryptographic module approved secure random number generator
+5. Build support for changing algorithms when needed
+6. Cryptographic modules used by the application are compliant to FIPS 140-2 or an equivalent standard
+7. Don't implement your own cryptographic protocols or routines. Use existing security vetted library and frameworks
+
+#### 2. Data protection (DP)
+
+1. Classify data according to the level of sensitivity
+2. Implement appropriate access controls for sensitive data
+3. Avoid storing sensitive data when at all possible
+4. Implement least privilege, restricting access to functionality, data and system information
+5. Do not include sensitive information in the URL or query string, such as an API key or session token
+6. Disable client side caching on pages containing sensitive information (e.g. Cache-Control: no-store)
+7. Set a referrer policy to prevent leakage of sensitive data to third-party services via the 'Referer' HTTP request header
+ field. This can be done using the Referrer-Policy HTTP response header field or via HTML element attributes
+
+#### 3. Secret and credential management (SCM)
+
+1. Establish and utilize a policy and process for how cryptographic keys will be managed
+2. Ensure that any secret key is protected from unauthorized access
+3. Store keys and application-level secrets in a proper secrets vault
+4. Use independent keys when multiple keys are required
+5. Build application features to handle a secret key rotation
+6. Ensure that secrets are not stored in code, config files or environment variables
+7. Scan code repositories to detect accidentally added secrets and credentials
+8. Log all authorized access to a secret key for forensic purposes
+
+#### 4. Memory management (MM)
+
+1. Explicitly initialize all variables and data stores
+2. Check that any buffers are as large as specified
+3. Check buffer boundaries if calling the function in a loop and protect against overflow
+4. Specifically close resources, don't rely on garbage collection
+5. Use non-executable stacks when available
+6. Properly free allocated memory upon the completion of functions and at all exit points
+7. Overwrite any sensitive information stored in allocated memory at all exit points from the function
+8. Protect shared variables and resources from inappropriate concurrent access
+9. Avoid the use of known vulnerable functions
+
+#### 5. Protect Data at Rest (PDR)
+
+1. Ensure sensitive data at rest is cryptographically protected to avoid unauthorized disclosure and modification
+2. Purge sensitive data when that data is no longer required
+3. Protect all cached or temporary copies of sensitive data from unauthorized access
+4. Purge those temporary copies of sensitive data as soon as they are no longer required
+
+#### 6. Protect Data in Transit (PDT)
+
+1. Encrypt data in transit
+2. Ensure secure communication channels are properly configured
+3. Utilize TLS connections for all connectivity between a client and external-facing, HTTP-based services
+4. Ensure the TLS connections do not fall back to insecure or unencrypted communication
+5. Turn off older protocols to avoid protocol downgrade attacks
+6. Do not offer HTTP. Disable both HTTP and SSL compression
+7. Utilize a single standard TLS implementation with (preferably the latest) secure version of TLS
+8. Ensure the TLS connections are configured appropriately to validate certificates received before communicating and
+ checking revocation status
+9. Use the Strict-Transport-Security Header
+10. Use Content-Security-Policy to enforce client-side upgrade from HTTP to HTTPS.
+11. Always utilize the “secure” flag for cookies to prevent transmission over HTTP.
+
+#### References
+
+* OWASP [Cheat Sheet: Cryptographic Storage][cscs]
+* OWASP [Cheat Sheet: Secrets Management][cssm]
+* OWASP [Cheat Sheet: Transport Layer Security][cstls]
+* OWASP [Top 10 Proactive Controls][proactive10]
+
+----
+
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue060208] or [edit on GitHub][edit060208].
+
+[csproactive-c8]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c8-protect-data-everywhere
+[control2]: https://top10proactive.owasp.org/the-top-10/c2-crypto/
+[cscs]: https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet
+[cssm]: https://cheatsheetseries.owasp.org/cheatsheets/Secrets_Management_Cheat_Sheet
+[cstls]: https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Security_Cheat_Sheet.html
+[edit060208]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/08-protect-data.md
+[issue060208]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/08-protect-data
+[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/04-design/02-web-app-checklist/09-logging-monitoring.md b/docs/en/04-design/02-web-app-checklist/09-logging-monitoring.md
similarity index 61%
rename from docs/04-design/02-web-app-checklist/09-logging-monitoring.md
rename to docs/en/04-design/02-web-app-checklist/09-logging-monitoring.md
index 85002443..abb35b8f 100644
--- a/docs/04-design/02-web-app-checklist/09-logging-monitoring.md
+++ b/docs/en/04-design/02-web-app-checklist/09-logging-monitoring.md
@@ -5,18 +5,23 @@ Refer to proactive control [C9: Implement Security Logging and Monitoring][contr
and its [cheatsheets][csproactive-c9] for more context from the OWASP Top 10 Proactive Controls project,
and use the list below as suggestions for a checklist that has been tailored for the individual project.
-#### 1. Security logging
+#### 1. Security logging (SL)
-1. Log submitted data that is outside of an expected numeric range.
-2. Log submitted data that involves changes to data that should not be modifiable
+1. Log submitted data that is outside of an expected numeric range
+2. Log all apparent tampering events, that involve changes to data and state that should not be modifiable
3. Log requests that violate server-side access control rules
4. Encode and validate any dangerous characters before logging to prevent log injection attacks
-5. Do not log sensitive information
+5. Do not log sensitive information such as unnecessary system details, session identifiers or passwords
6. Logging controls should support both success and failure of specified security events
-7. Do not store sensitive information in logs, including unnecessary system details, session identifiers or passwords
-8. Use a cryptographic hash function to validate log entry integrity
+7. Use a cryptographic hash function to validate log entry integrity
+8. Log attempts to authenticate with invalid or expired credentials
+9. Log all input validation failures
+10. Log all system exceptions
+11. Log all administrative functions, including changes to the security configuration settings
+12. Log all backend TLS connection failures
+13. Log cryptographic module failures
-#### 2. Security logging design
+#### 2. Security logging design (SLD)
1. Protect log integrity
2. Ensure log entries that include untrusted data will not execute as code in the intended log viewing interface or software
@@ -27,6 +32,17 @@ and use the list below as suggestions for a checklist that has been tailored for
7. Synchronize across nodes to ensure that timestamps are consistent
8. All logging controls should be implemented on a trusted system
9. Ensure that a mechanism exists to conduct log analysis
+10. Each log entry must includes necessary metadata (such as when, where, who, what) that would allow for a detailed
+ investigation of the timeline when an event happens
+11. Each log entry must include a time stamp, severity, tagging of security events,
+ identity of the account holder, trace id and span id that can be correlated against the end user's ip, event outcome,
+ event description
+
+#### 3. Monitoring (M)
+
+1. Effective monitoring and alerting should be established to detect and respond to suspicious activities quickly
+2. Account for attack patterns that bypass standard lockouts, such as using the same passwords against multiple user accounts
+ while rotating IP addresses
#### References
@@ -43,6 +59,6 @@ then [submit an issue][issue060209] or [edit on GitHub][edit060209].
[control9]: https://top10proactive.owasp.org/the-top-10/c9-security-logging-and-monitoring/
[cslogging]: https://cheatsheetseries.owasp.org/cheatsheets/Logging_Cheat_Sheet
[csvocabulary]: https://cheatsheetseries.owasp.org/cheatsheets/Logging_Vocabulary_Cheat_Sheet
-[edit060209]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/02-web-app-checklist/09-logging-monitoring.md
+[edit060209]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/09-logging-monitoring.md
[issue060209]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/09-logging-monitoring
[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/04-design/02-web-app-checklist/10-handle-errors-exceptions.md b/docs/en/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
similarity index 93%
rename from docs/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
rename to docs/en/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
index 9ce118f8..d9c5387f 100644
--- a/docs/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
+++ b/docs/en/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
@@ -6,7 +6,7 @@ Refer to proactive control [C3: Validate all Input & Handle Exceptions][control3
and its [cheatsheets][csproactive-c10] for more context from the OWASP Top 10 Proactive Controls project,
and use the list below as suggestions for a checklist that has been tailored for the individual project.
-#### 1. Errors and exceptions
+#### 1. Errors and exceptions (EE)
1. Manage exceptions in a centralized manner to avoid duplicated try/catch blocks in the code
2. Ensure that all unexpected behavior is correctly handled inside the application
@@ -36,7 +36,7 @@ then [submit an issue][issue060210] or [edit on GitHub][edit060210].
[cserror]: https://cheatsheetseries.owasp.org/cheatsheets/Error_Handling_Cheat_Sheet
[csproactive-c10]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c10-handle-all-errors-and-exceptions
[control3]: https://top10proactive.owasp.org/the-top-10/c3-validate-input-and-handle-exceptions/
-[edit060210]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
+[edit060210]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
[handle]: https://owasp.org/www-community/Improper_Error_Handling
[issue060210]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/10-handle-errors-exceptions
[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/04-design/02-web-app-checklist/index.md b/docs/en/04-design/02-web-app-checklist/index.md
similarity index 58%
rename from docs/04-design/02-web-app-checklist/index.md
rename to docs/en/04-design/02-web-app-checklist/index.md
index 0542c8f2..307e4af6 100644
--- a/docs/04-design/02-web-app-checklist/index.md
+++ b/docs/en/04-design/02-web-app-checklist/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
Checklists are a valuable resource for development teams.
They provide structure for establishing good practices and processes
@@ -12,11 +12,18 @@ an individual project's requirements and environment; they are not meant to be f
Probably the best starting point for a checklist is given by the [Application Security Verification Standard (ASVS)][asvs].
The ASVS can be used to provide a framework for an initial checklist, according to the security verification level,
and this initial ASVS checklist can then be expanded using the following checklist sections.
+An effort has also been made to migrate best practices from the [OWASP Secure Coding Practices-Quick Reference Guide][scp]
+to the OWASP DevGuide.
+This checklist should contain most of the items from the quick references, some, however, have been rewritten or left out to
+ensure this checklist is in line with modern practices.
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0602].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0602] or [edit on GitHub][edit0602].
[asvs]: https://owasp.org/www-project-application-security-verification-standard/
-[issue0602]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/00-toc
+[edit0602]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/02-web-app-checklist/index.md
+[issue0602]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2004-design/02-web-app-checklist/index
[proactive10]: https://owasp.org/www-project-proactive-controls/
+[scp]: https://owasp.org/www-project-secure-coding-practices-quick-reference-guide/
diff --git a/docs/04-design/03-mas-checklist.md b/docs/en/04-design/03-mas-checklist.md
similarity index 94%
rename from docs/04-design/03-mas-checklist.md
rename to docs/en/04-design/03-mas-checklist.md
index cb4ac06d..d71510a7 100644
--- a/docs/04-design/03-mas-checklist.md
+++ b/docs/en/04-design/03-mas-checklist.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The OWASP [Mobile Application Security][masproject] (MAS) flagship project provides
industry standards for mobile application security.
@@ -53,7 +53,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue0603] or [edit on GitHub][edit0603].
[csmas]: https://cheatsheetseries.owasp.org/cheatsheets/Mobile_Application_Security_Cheat_Sheet
-[edit0603]: https://github.com/OWASP/DevGuide/blob/main/docs/04-design/03-mas-checklist.md
+[edit0603]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/03-mas-checklist.md
[issue0603]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/03-mas-checklist
[masproject]: https://owasp.org/www-project-mobile-app-security/
[masxls]: https://github.com/OWASP/owasp-mastg/releases/latest/download/OWASP_MAS_Checklist.xlsx
diff --git a/docs/04-design/index.md b/docs/en/04-design/index.md
similarity index 86%
rename from docs/04-design/index.md
rename to docs/en/04-design/index.md
index 6ae1d1ad..7f6bb630 100644
--- a/docs/04-design/index.md
+++ b/docs/en/04-design/index.md
@@ -1,5 +1,4 @@
-
-{ align=right width=180 }
+{ align=right width=180 }
Referring to the [Secure Product Design Cheat Sheet][spdcs], the purpose of secure architecture and design is to ensure
that all products meet or exceed the security requirements laid down by the organization,
@@ -34,9 +33,11 @@ the [Software Assurance Maturity Model (SAMM)][samm], and includes security prac
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0600].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0600] or [edit on GitHub][edit0600].
-[issue0600]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/00-toc
+[edit0600]: https://github.com/OWASP/DevGuide/blob/main/docs/en/04-design/index.md
+[issue0600]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2004-design/index
[samm]: https://owaspsamm.org/about/
[sammd]: https://owaspsamm.org/model/design/
[sammdsa]: https://owaspsamm.org/model/design/secure-architecture/
diff --git a/docs/05-implementation/01-documentation/01-proactive-controls.md b/docs/en/05-implementation/01-documentation/01-proactive-controls.md
similarity index 96%
rename from docs/05-implementation/01-documentation/01-proactive-controls.md
rename to docs/en/05-implementation/01-documentation/01-proactive-controls.md
index f76e8f79..a90ca6af 100644
--- a/docs/05-implementation/01-documentation/01-proactive-controls.md
+++ b/docs/en/05-implementation/01-documentation/01-proactive-controls.md
@@ -1,3 +1,5 @@
+{ align=right width=140 }
+
The OWASP [Top 10 Proactive Controls][proactive10] describes the most important controls and control categories
that security architects and development teams should consider in web application projects.
@@ -99,7 +101,7 @@ then [submit an issue][issue070101] or [edit on GitHub][edit070101].
[control8]: https://top10proactive.owasp.org/the-top-10/c8-help-the-browser-defend-the-user/
[control9]: https://top10proactive.owasp.org/the-top-10/c9-security-logging-and-monitoring/
[control10]: https://top10proactive.owasp.org/the-top-10/c10-stop-server-side-request-forgery/
-[edit070101]: https://github.com/OWASP/DevGuide/blob/main/docs/05-implementation/01-documentation/01-proactive-controls.md
+[edit070101]: https://github.com/OWASP/DevGuide/blob/main/docs/en/05-implementation/01-documentation/01-proactive-controls.md
[issue070101]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/01-documentation/01-proactive-controls
[proactive10]: https://top10proactive.owasp.org/
[spotlight08]: https://youtu.be/HRtYDCWOSc0
diff --git a/docs/05-implementation/01-documentation/02-go-scp.md b/docs/en/05-implementation/01-documentation/02-go-scp.md
similarity index 95%
rename from docs/05-implementation/01-documentation/02-go-scp.md
rename to docs/en/05-implementation/01-documentation/02-go-scp.md
index 0b39f061..813ae503 100644
--- a/docs/05-implementation/01-documentation/02-go-scp.md
+++ b/docs/en/05-implementation/01-documentation/02-go-scp.md
@@ -53,7 +53,7 @@ for practical guidance on secure coding using Go.
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue070102] or [edit on GitHub][edit070102].
-[edit070102]: https://github.com/OWASP/DevGuide/blob/main/docs/05-implementation/01-documentation/02-go-scp.md
+[edit070102]: https://github.com/OWASP/DevGuide/blob/main/docs/en/05-implementation/01-documentation/02-go-scp.md
[go-scp-download]: https://github.com/OWASP/Go-SCP/tree/master/dist
[go-scp-project]: https://owasp.org/www-project-go-secure-coding-practices-guide/
[issue070102]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/01-documentation/02-go-scp
diff --git a/docs/05-implementation/01-documentation/03-cheatsheets.md b/docs/en/05-implementation/01-documentation/03-cheatsheets.md
similarity index 93%
rename from docs/05-implementation/01-documentation/03-cheatsheets.md
rename to docs/en/05-implementation/01-documentation/03-cheatsheets.md
index e652c59c..d7708cea 100644
--- a/docs/05-implementation/01-documentation/03-cheatsheets.md
+++ b/docs/en/05-implementation/01-documentation/03-cheatsheets.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=200 }
The [OWASP Cheat Sheet Series][cheatsheets] provide a concise collection of high value information
on a wide range of specific application security topics.
@@ -64,6 +64,6 @@ then [submit an issue][issue070103] or [edit on GitHub][edit070103].
[csmasvs]: https://cheatsheetseries.owasp.org/IndexMASVS.html
[csproactive]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html
[cstop10]: https://cheatsheetseries.owasp.org/IndexTopTen.html
-[edit070103]: https://github.com/OWASP/DevGuide/blob/main/docs/05-implementation/01-documentation/03-cheatsheets.md
+[edit070103]: https://github.com/OWASP/DevGuide/blob/main/docs/en/05-implementation/01-documentation/03-cheatsheets.md
[issue070103]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/01-documentation/03-cheatsheets
[spotlight04]: https://youtu.be/S1cVYRDeiPQ
diff --git a/docs/05-implementation/01-documentation/index.md b/docs/en/05-implementation/01-documentation/index.md
similarity index 68%
rename from docs/05-implementation/01-documentation/index.md
rename to docs/en/05-implementation/01-documentation/index.md
index d465c9ca..a7e34805 100644
--- a/docs/05-implementation/01-documentation/index.md
+++ b/docs/en/05-implementation/01-documentation/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
Documentation is used here as part of the SAMM [Training and Awareness][sammgegta] activity,
which in turn is part of the SAMM [Education & Guidance][sammgeg] security practice
@@ -10,9 +10,11 @@ and provides guidance on building security into applications and systems.
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0710].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0710] or [edit on GitHub][edit0710].
-[issue0710]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2005-implementation/01-documentation/00-toc
+[edit0710]: https://github.com/OWASP/DevGuide/blob/main/docs/es/07-implementation/01-documentation/index.md
+[issue0710]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2007-implementation/01-documentation/index
[sammg]: https://owaspsamm.org/model/governance/
[sammgeg]: https://owaspsamm.org/model/governance/education-and-guidance/
[sammgegta]: https://owaspsamm.org/model/governance/education-and-guidance/stream-a/
diff --git a/docs/05-implementation/02-dependencies/01-dependency-check.md b/docs/en/05-implementation/02-dependencies/01-dependency-check.md
similarity index 93%
rename from docs/05-implementation/02-dependencies/01-dependency-check.md
rename to docs/en/05-implementation/02-dependencies/01-dependency-check.md
index b9fb1c8c..f231dd85 100644
--- a/docs/05-implementation/02-dependencies/01-dependency-check.md
+++ b/docs/en/05-implementation/02-dependencies/01-dependency-check.md
@@ -1,4 +1,4 @@
-{ width=250 }
+{ width=250 }
OWASP [Dependency-Check][depcheck] is a tool that provides Software Composition Analysis (SCA) from the command line.
It identifies the third party libraries in a web application project
@@ -71,11 +71,11 @@ then [submit an issue][issue070201] or [edit on GitHub][edit070201].
[adoptium]: https://adoptium.net/
[cpe]: https://nvd.nist.gov/products/cpe
[cscicd]: https://cheatsheetseries.owasp.org/cheatsheets/CI_CD_Security_Cheat_Sheet
-[cve]: https://cve.mitre.org/
+[cve]: https://www.cve.org/
[depcheck]: https://owasp.org/www-project-dependency-check/
[depcheck-docs]: https://jeremylong.github.io/DependencyCheck/
[depcheck-download]: https://github.com/jeremylong/DependencyCheck/releases
-[edit070201]: https://github.com/OWASP/DevGuide/blob/main/docs/05-implementation/02-dependencies/01-dependency-check.md
+[edit070201]: https://github.com/OWASP/DevGuide/blob/main/docs/en/05-implementation/02-dependencies/01-dependency-check.md
[issue070201]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/02-dependencies/01-dependency-check
[nist-db]: https://nvd.nist.gov/
[spotlight02]: https://youtu.be/YAXf3TaAYeA
diff --git a/docs/05-implementation/02-dependencies/02-dependency-track.md b/docs/en/05-implementation/02-dependencies/02-dependency-track.md
similarity index 96%
rename from docs/05-implementation/02-dependencies/02-dependency-track.md
rename to docs/en/05-implementation/02-dependencies/02-dependency-track.md
index a4f83b90..426a94d9 100644
--- a/docs/05-implementation/02-dependencies/02-dependency-track.md
+++ b/docs/en/05-implementation/02-dependencies/02-dependency-track.md
@@ -56,6 +56,6 @@ then [submit an issue][issue070202] or [edit on GitHub][edit070202].
[deptrack]: https://dependencytrack.org/
[deptrack-docs]: https://docs.dependencytrack.org/
[deptrack-project]: https://owasp.org/www-project-dependency-track/
-[edit070202]: https://github.com/OWASP/DevGuide/blob/main/docs/05-implementation/02-dependencies/02-dependency-track.md
+[edit070202]: https://github.com/OWASP/DevGuide/blob/main/docs/en/05-implementation/02-dependencies/02-dependency-track.md
[issue070202]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/02-dependencies/02-dependency-track
[spotlight15]: https://youtu.be/irnZuLq4MDM
diff --git a/docs/05-implementation/02-dependencies/03-cyclonedx.md b/docs/en/05-implementation/02-dependencies/03-cyclonedx.md
similarity index 95%
rename from docs/05-implementation/02-dependencies/03-cyclonedx.md
rename to docs/en/05-implementation/02-dependencies/03-cyclonedx.md
index d4a250a7..6a2c9574 100644
--- a/docs/05-implementation/02-dependencies/03-cyclonedx.md
+++ b/docs/en/05-implementation/02-dependencies/03-cyclonedx.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
OWASP [CycloneDX][cyclonedx] is a full-stack Bill of Materials (BOM) standard
that provides advanced supply chain capabilities for cyber risk reduction.
@@ -72,6 +72,6 @@ then [submit an issue][issue070203] or [edit on GitHub][edit070203].
[cyclonedx-tools]: https://cyclonedx.org/tool-center/
[cyclonedx-vdr]: https://cyclonedx.org/capabilities/vdr/
[cyclonedx-vex]: https://cyclonedx.org/capabilities/vex/
-[edit070203]: https://github.com/OWASP/DevGuide/blob/main/docs/05-implementation/02-dependencies/03-cyclonedx.md
+[edit070203]: https://github.com/OWASP/DevGuide/blob/main/docs/en/05-implementation/02-dependencies/03-cyclonedx.md
[issue070203]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/02-dependencies/03-cyclonedx
[spotlight21]: https://youtu.be/qEG6cxwl8os
diff --git a/docs/05-implementation/02-dependencies/index.md b/docs/en/05-implementation/02-dependencies/index.md
similarity index 75%
rename from docs/05-implementation/02-dependencies/index.md
rename to docs/en/05-implementation/02-dependencies/index.md
index 25be55e4..cc3bd576 100644
--- a/docs/05-implementation/02-dependencies/index.md
+++ b/docs/en/05-implementation/02-dependencies/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
Management of software dependencies is described by the SAMM [Software Dependencies][sammisbsd] activity,
which in turn is part of the SAMM [Secure Build][sammisb] security practice
@@ -21,10 +21,12 @@ Having an SBOM provides the ability to quickly find out which applications are a
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0720].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0702] or [edit on GitHub][edit0702].
-[cve]: https://cve.mitre.org/
-[issue0720]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2005-implementation/02-dependencies/00-toc
+[cve]: https://www.cve.org/
+[edit0702]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/02-dependencies/index.md
+[issue0702]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2005-implementation/02-dependencies/index
[sammi]: https://owaspsamm.org/model/implementation/
[sammisb]: https://owaspsamm.org/model/implementation/secure-build/
[sammisbsd]: https://owaspsamm.org/model/implementation/secure-build/stream-b/
diff --git a/docs/05-implementation/03-secure-libraries/01-esapi.md b/docs/en/05-implementation/03-secure-libraries/01-esapi.md
similarity index 94%
rename from docs/05-implementation/03-secure-libraries/01-esapi.md
rename to docs/en/05-implementation/03-secure-libraries/01-esapi.md
index 9cd2a8b5..30ceef7c 100644
--- a/docs/05-implementation/03-secure-libraries/01-esapi.md
+++ b/docs/en/05-implementation/03-secure-libraries/01-esapi.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The OWASP Enterprise Security API (ESAPI) [library][esapi-docs] is a security control library
for web applications written in Java.
@@ -56,7 +56,7 @@ then [submit an issue][issue070301] or [edit on GitHub][edit070301].
[bean]: http://beanvalidation.org/
[csrfguard]: https://owasp.org/www-project-csrfguard/
[cscsrf]: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet
-[edit070301]: https://github.com/OWASP/DevGuide/blob/main/docs/05-implementation/03-secure-libraries/01-esapi.md
+[edit070301]: https://github.com/OWASP/DevGuide/blob/main/docs/en/05-implementation/03-secure-libraries/01-esapi.md
[esapi-docs]: https://www.javadoc.io/doc/org.owasp.esapi/esapi/latest/index.html
[esapi-java]: https://mvnrepository.com/artifact/org.owasp.esapi/esapi
[esapi-project]: https://owasp.org/www-project-enterprise-security-api/
diff --git a/docs/05-implementation/03-secure-libraries/02-csrf-guard.md b/docs/en/05-implementation/03-secure-libraries/02-csrf-guard.md
similarity index 94%
rename from docs/05-implementation/03-secure-libraries/02-csrf-guard.md
rename to docs/en/05-implementation/03-secure-libraries/02-csrf-guard.md
index 0e060f8f..2d9789cc 100644
--- a/docs/05-implementation/03-secure-libraries/02-csrf-guard.md
+++ b/docs/en/05-implementation/03-secure-libraries/02-csrf-guard.md
@@ -40,5 +40,5 @@ then [submit an issue][issue070302] or [edit on GitHub][edit070302].
[csrfguard-nexus]: https://oss.sonatype.org/#nexus-search;gav~~csrfguard~~~
[csrfguard-maven]: https://central.sonatype.com/search?q=csrfguard&smo=true
[cscsrf]: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet
-[edit070302]: https://github.com/OWASP/DevGuide/blob/main/docs/05-implementation/03-secure-libraries/02-csrf-guard.md
+[edit070302]: https://github.com/OWASP/DevGuide/blob/main/docs/en/05-implementation/03-secure-libraries/02-csrf-guard.md
[issue070302]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/03-secure-libraries/02-csrf-guard
diff --git a/docs/05-implementation/03-secure-libraries/03-secure-headers.md b/docs/en/05-implementation/03-secure-libraries/03-secure-headers.md
similarity index 89%
rename from docs/05-implementation/03-secure-libraries/03-secure-headers.md
rename to docs/en/05-implementation/03-secure-libraries/03-secure-headers.md
index 6ad8b2b7..80a64e30 100644
--- a/docs/05-implementation/03-secure-libraries/03-secure-headers.md
+++ b/docs/en/05-implementation/03-secure-libraries/03-secure-headers.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=150 }
The OWASP Secure Headers Project ([OSHP][oshp]) provides information on HTTP response headers
to increase the security of a web application.
@@ -39,7 +39,7 @@ The OSHP also lists [various tools][oshp-tools] useful for inspection, analysis
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue070303] or [edit on GitHub][edit070303].
-[edit070303]: https://github.com/OWASP/DevGuide/blob/main/docs/05-implementation/03-secure-libraries/03-secure-headers.md
+[edit070303]: https://github.com/OWASP/DevGuide/blob/main/docs/en/05-implementation/03-secure-libraries/03-secure-headers.md
[issue070303]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/03-secure-libraries/03-secure-headers
[oshp]: https://owasp.org/www-project-secure-headers/
[oshp-libs]: https://owasp.org/www-project-secure-headers/#development-libraries
diff --git a/docs/05-implementation/03-secure-libraries/index.md b/docs/en/05-implementation/03-secure-libraries/index.md
similarity index 68%
rename from docs/05-implementation/03-secure-libraries/index.md
rename to docs/en/05-implementation/03-secure-libraries/index.md
index 6eb1d65e..00c9bed7 100644
--- a/docs/05-implementation/03-secure-libraries/index.md
+++ b/docs/en/05-implementation/03-secure-libraries/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The use of secure libraries is part of the technology management that helps to fulfill security requirements.
Standard libraries enable the adoption of common design patterns and security solutions,
@@ -10,9 +10,11 @@ which in turn is part of the [Design][sammd] business function.
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0703].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0703] or [edit on GitHub][edit0703].
-[issue0703]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2005-implementation/03-secure-libraries/00-toc
+[edit0703]: https://github.com/OWASP/DevGuide/blob/main/docs/en/05-implementation/03-secure-libraries/index.md
+[issue0703]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/03-secure-libraries/index
[sammd]: https://owaspsamm.org/model/design/
[sammdsa]: https://owaspsamm.org/model/design/secure-architecture/
[sammdsatm]: https://owaspsamm.org/model/design/secure-architecture/stream-b/
diff --git a/docs/05-implementation/04-maswe.md b/docs/en/05-implementation/04-maswe.md
similarity index 94%
rename from docs/05-implementation/04-maswe.md
rename to docs/en/05-implementation/04-maswe.md
index 2a47ef5f..f3a0d5b8 100644
--- a/docs/05-implementation/04-maswe.md
+++ b/docs/en/05-implementation/04-maswe.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The OWASP [Mobile Application Security][masproject] (MAS) flagship project provides
industry standards for mobile application security.
@@ -62,7 +62,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue0704] or [edit on GitHub][edit0704].
[cwe]: https://cwe.mitre.org/
-[edit0704]: https://github.com/OWASP/DevGuide/blob/main/docs/05-implementation/04-maswe.md
+[edit0704]: https://github.com/OWASP/DevGuide/blob/main/docs/en/05-implementation/04-maswe.md
[issue0704]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2005-implementation/04-maswe
[masproject]: https://owasp.org/www-project-mobile-app-security/
[masc]: https://mas.owasp.org/checklists/
diff --git a/docs/05-implementation/index.md b/docs/en/05-implementation/index.md
similarity index 69%
rename from docs/05-implementation/index.md
rename to docs/en/05-implementation/index.md
index 46a62a34..e9a19011 100644
--- a/docs/05-implementation/index.md
+++ b/docs/en/05-implementation/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The [Implementation][sammi] business function is described by the OWASP [Software Assurance Maturity Model][sammm] (SAMM).
Implementation is focused on the processes and activities related to how an organization
@@ -8,9 +8,9 @@ and an important goal of Implementation is to ship reliably working software wit
Implementation should include security practices such as :
-* Secure Build
-* Secure Deployment
-* Defect Management
+* [Secure Build][sammisb]
+* [Secure Deployment][sammisd]
+* [Defect Management][sammidm]
Implementation is where the application / system begins to take shape; source code is written and tests are created.
The implementation of the application follows a secure development lifecycle, with security built in from the start.
@@ -19,13 +19,15 @@ The implementation will use a secure method of source code control and storage t
The development team will be referring to documentation advising them of best practices,
they will be using secure libraries wherever possible in addition to checking and tracking external dependencies.
-Much of the skill of implementation comes from experience, and taking into account the Do's and Don'ts
-of secure development is an important knowledge activity in itself.
-
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0700].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0700] or [edit on GitHub][edit0700].
-[issue0700]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2005-implementation/00-toc
+[edit0700]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/index.md
+[issue0700]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2005-implementation/index
[sammm]: https://owaspsamm.org/model/
[sammi]: https://owaspsamm.org/model/implementation/
+[sammidm]: https://owaspsamm.org/model/implementation/defect-management/
+[sammisb]: https://owaspsamm.org/model/implementation/secure-build/
+[sammisd]: https://owaspsamm.org/model/implementation/secure-deployment/
diff --git a/docs/06-verification/01-guides/01-wstg.md b/docs/en/06-verification/01-guides/01-wstg.md
similarity index 97%
rename from docs/06-verification/01-guides/01-wstg.md
rename to docs/en/06-verification/01-guides/01-wstg.md
index dd29e7f7..1f727ffe 100644
--- a/docs/06-verification/01-guides/01-wstg.md
+++ b/docs/en/06-verification/01-guides/01-wstg.md
@@ -75,7 +75,7 @@ and the tests should be tailored to provide at least the minimum test coverage w
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue080101] or [edit on GitHub][edit080101].
-[edit080101]: https://github.com/OWASP/DevGuide/blob/main/docs/06-verification/01-guides/01-wstg.md
+[edit080101]: https://github.com/OWASP/DevGuide/blob/main/docs/en/06-verification/01-guides/01-wstg.md
[issue080101]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/01-guides/01-wstg
[spotlight01]: https://youtu.be/bxQPePVDbQk
[wstg]: https://owasp.org/www-project-web-security-testing-guide/
diff --git a/docs/06-verification/01-guides/02-mastg.md b/docs/en/06-verification/01-guides/02-mastg.md
similarity index 94%
rename from docs/06-verification/01-guides/02-mastg.md
rename to docs/en/06-verification/01-guides/02-mastg.md
index 6c5635ad..d69987b8 100644
--- a/docs/06-verification/01-guides/02-mastg.md
+++ b/docs/en/06-verification/01-guides/02-mastg.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The [MAS Verification Standard][masvs] (MASVS) explains the processes, techniques
and tools used for security testing a mobile application.
@@ -55,7 +55,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue080102] or [edit on GitHub][edit080102].
[csmas]: https://cheatsheetseries.owasp.org/cheatsheets/Mobile_Application_Security_Cheat_Sheet
-[edit080102]: https://github.com/OWASP/DevGuide/blob/main/docs/06-verification/01-guides/02-mastg.md
+[edit080102]: https://github.com/OWASP/DevGuide/blob/main/docs/en/06-verification/01-guides/02-mastg.md
[issue080102]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2006-verification/01-guides/02-mastg
[mas]: https://mas.owasp.org/
[masproject]: https://owasp.org/www-project-mobile-app-security/
diff --git a/docs/06-verification/01-guides/03-asvs.md b/docs/en/06-verification/01-guides/03-asvs.md
similarity index 98%
rename from docs/06-verification/01-guides/03-asvs.md
rename to docs/en/06-verification/01-guides/03-asvs.md
index 45da9307..03936daf 100644
--- a/docs/06-verification/01-guides/03-asvs.md
+++ b/docs/en/06-verification/01-guides/03-asvs.md
@@ -1,3 +1,5 @@
+{ align=right width=180 }
+
The [Application Security Verification Standard][asvs] (ASVS) is a long established OWASP flagship project,
and is widely used as a guide during the verification of web applications.
diff --git a/docs/06-verification/01-guides/index.md b/docs/en/06-verification/01-guides/index.md
similarity index 62%
rename from docs/06-verification/01-guides/index.md
rename to docs/en/06-verification/01-guides/index.md
index cc127f05..0bf58286 100644
--- a/docs/06-verification/01-guides/index.md
+++ b/docs/en/06-verification/01-guides/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
[Verification][sammv] is one of the business functions described by the [OWASP SAMM][samm].
The verification activities are wide ranging, and will include:
@@ -12,8 +12,10 @@ Given the breadth of techniques and knowledge required, guides are an important
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0810].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0810] or [edit on GitHub][edit0810].
-[issue0810]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2006-verification/01-guides/00-toc
+[edit0810]: https://github.com/OWASP/DevGuide/blob/main/docs/en/06-verification/01-guides/index.md
+[issue0810]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/01-guides/index
[samm]: https://owaspsamm.org/about/
[sammv]: https://owaspsamm.org/model/verification/
diff --git a/docs/06-verification/02-tools/01-dast.md b/docs/en/06-verification/02-tools/01-dast.md
similarity index 96%
rename from docs/06-verification/02-tools/01-dast.md
rename to docs/en/06-verification/02-tools/01-dast.md
index 0095b3b3..1d6e88e3 100644
--- a/docs/06-verification/02-tools/01-dast.md
+++ b/docs/en/06-verification/02-tools/01-dast.md
@@ -41,6 +41,6 @@ then [submit an issue][issue080201] or [edit on GitHub][edit080201].
[benchmark]: https://owasp.org/www-project-benchmark/
[dast]: https://owasp.org/www-community/Vulnerability_Scanning_Tools
-[edit080201]: https://github.com/OWASP/DevGuide/blob/main/docs/06-verification/02-tools/01-dast.md
+[edit080201]: https://github.com/OWASP/DevGuide/blob/main/docs/en/06-verification/02-tools/01-dast.md
[issue080201]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/02-tools/01-dast
[wikipedia]: https://en.wikipedia.org/wiki/Dynamic_application_security_testing
diff --git a/docs/06-verification/02-tools/02-amass.md b/docs/en/06-verification/02-tools/02-amass.md
similarity index 93%
rename from docs/06-verification/02-tools/02-amass.md
rename to docs/en/06-verification/02-tools/02-amass.md
index cba20fa4..768d6360 100644
--- a/docs/06-verification/02-tools/02-amass.md
+++ b/docs/en/06-verification/02-tools/02-amass.md
@@ -1,3 +1,5 @@
+{ align=right width=80 }
+
The OWASP Amass is a tool that provides attack surface management for an organization's web sites and applications.
It used during penetration testing for network mapping of attack surfaces
and external asset discovery by integrating various existing security tools.
@@ -46,6 +48,6 @@ then [submit an issue][issue080202] or [edit on GitHub][edit080202].
[amass-download]: https://github.com/owasp-amass/amass/releases
[amass-install]: https://github.com/owasp-amass/amass/blob/master/doc/install.md
[amass-tutorial]: https://github.com/owasp-amass/amass/blob/master/doc/tutorial.md
-[edit080202]: https://github.com/OWASP/DevGuide/blob/main/docs/06-verification/02-tools/02-amass.md
+[edit080202]: https://github.com/OWASP/DevGuide/blob/main/docs/en/06-verification/02-tools/02-amass.md
[issue080202]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/02-tools/02-amass
[kali]: https://www.kali.org/
diff --git a/docs/06-verification/02-tools/03-owtf.md b/docs/en/06-verification/02-tools/03-owtf.md
similarity index 91%
rename from docs/06-verification/02-tools/03-owtf.md
rename to docs/en/06-verification/02-tools/03-owtf.md
index 28d23d1d..a9727449 100644
--- a/docs/06-verification/02-tools/03-owtf.md
+++ b/docs/en/06-verification/02-tools/03-owtf.md
@@ -1,4 +1,4 @@
-{ align=right width=80 }
+{ align=right width=80 }
OWASP Offensive Web Testing Framework ([OWTF][owtf]) is a penetration test tool
that provides pen-testers with a framework for organizing and running security test suites.
@@ -34,7 +34,7 @@ and the [install][owtfinstall] instructions may need adapting to run on MacOS o
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue080203] or [edit on GitHub][edit080203].
-[edit080203]: https://github.com/OWASP/DevGuide/blob/main/docs/06-verification/02-tools/03-owtf.md
+[edit080203]: https://github.com/OWASP/DevGuide/blob/main/docs/en/06-verification/02-tools/03-owtf.md
[issue080203]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/02-tools/03-owtf
[kali]: https://www.kali.org/
[owtfinstall]: https://owtf.readthedocs.io/en/develop/installation/methods.html
diff --git a/docs/06-verification/02-tools/04-nettacker.md b/docs/en/06-verification/02-tools/04-nettacker.md
similarity index 92%
rename from docs/06-verification/02-tools/04-nettacker.md
rename to docs/en/06-verification/02-tools/04-nettacker.md
index e549c838..d8f32c62 100644
--- a/docs/06-verification/02-tools/04-nettacker.md
+++ b/docs/en/06-verification/02-tools/04-nettacker.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
OWASP Nettacker is a command line utility for automated network and vulnerability scanning.
It can be used during penetration testing for both internal and external security assessments of networks.
@@ -45,7 +45,7 @@ The best way to start using it is by following the [introduction video][nettacke
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue080204] or [edit on GitHub][edit080204].
-[edit080204]: https://github.com/OWASP/DevGuide/blob/main/docs/06-verification/02-tools/04-nettacker.md
+[edit080204]: https://github.com/OWASP/DevGuide/blob/main/docs/en/06-verification/02-tools/04-nettacker.md
[issue080204]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/02-tools/04-nettacker
[nettacker-brute]: https://github.com/OWASP/Nettacker/wiki/Modules#brute-modules
[nettacker-install]: https://github.com/OWASP/Nettacker/wiki/Installation
diff --git a/docs/06-verification/02-tools/05-secure-headers.md b/docs/en/06-verification/02-tools/05-secure-headers.md
similarity index 91%
rename from docs/06-verification/02-tools/05-secure-headers.md
rename to docs/en/06-verification/02-tools/05-secure-headers.md
index 44729f5d..f29d9a2d 100644
--- a/docs/06-verification/02-tools/05-secure-headers.md
+++ b/docs/en/06-verification/02-tools/05-secure-headers.md
@@ -1,3 +1,5 @@
+{ align=right width=140 }
+
The OWASP Secure Headers Project ([OSHP][oshp]) provides information on HTTP response headers
to increase the security of a web application.
@@ -47,7 +49,7 @@ in a range of languages and frameworks.
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue080205] or [edit on GitHub][edit080205].
-[edit080205]: https://github.com/OWASP/DevGuide/blob/main/docs/06-verification/02-tools/05-secure-headers.md
+[edit080205]: https://github.com/OWASP/DevGuide/blob/main/docs/en/06-verification/02-tools/05-secure-headers.md
[issue080205]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/02-tools/05-secure-headers
[oshp]: https://owasp.org/www-project-secure-headers/
[oshp-libs]: https://owasp.org/www-project-secure-headers/#development-libraries
diff --git a/docs/06-verification/02-tools/index.md b/docs/en/06-verification/02-tools/index.md
similarity index 71%
rename from docs/06-verification/02-tools/index.md
rename to docs/en/06-verification/02-tools/index.md
index 8665e96f..7e3713fa 100644
--- a/docs/06-verification/02-tools/index.md
+++ b/docs/en/06-verification/02-tools/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
[Verification][sammv] is one of the business functions described by the [OWASP SAMM][samm].
@@ -12,9 +12,11 @@ whereas manual security testing of high-risk components requires good knowledge
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0820].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0820] or [edit on GitHub][edit0820].
-[issue0820]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2006-verification/02-tools/00-toc
+[edit0820]: https://github.com/OWASP/DevGuide/blob/main/docs/en/08-verification/02-tools/index.md
+[issue0820]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2008-verification/02-tools/index
[samm]: https://owaspsamm.org/about/
[sammv]: https://owaspsamm.org/model/verification/
[sammvst]: https://owaspsamm.org/model/verification/security-testing/
diff --git a/docs/06-verification/03-frameworks/01-secure-codebox.md b/docs/en/06-verification/03-frameworks/01-secure-codebox.md
similarity index 93%
rename from docs/06-verification/03-frameworks/01-secure-codebox.md
rename to docs/en/06-verification/03-frameworks/01-secure-codebox.md
index 7a169712..e50fc3cb 100644
--- a/docs/06-verification/03-frameworks/01-secure-codebox.md
+++ b/docs/en/06-verification/03-frameworks/01-secure-codebox.md
@@ -1,4 +1,4 @@
-{ align=right width=250 }
+{ align=right width=250 }
OWASP [secureCodeBox][codebox] is a kubernetes based modularized toolchain
that provides continuous security scans of an organizations' projects and web applications.
@@ -80,7 +80,7 @@ then [submit an issue][issue080301] or [edit on GitHub][edit080301].
[codebox-repo]: https://charts.securecodebox.io
[codebox-start]: https://www.securecodebox.io/docs/getting-started/first-scans
[codebox-docs]: https://www.securecodebox.io/docs/getting-started/installation
-[edit080301]: https://github.com/OWASP/DevGuide/blob/main/docs/06-verification/03-frameworks/01-secure-codebox.md
+[edit080301]: https://github.com/OWASP/DevGuide/blob/main/docs/en/06-verification/03-frameworks/01-secure-codebox.md
[helm]: https://helm.sh/
[issue080301]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/03-frameworks/01-secure-codebox
[kube]: https://kubernetes.io/
diff --git a/docs/06-verification/03-frameworks/index.md b/docs/en/06-verification/03-frameworks/index.md
similarity index 69%
rename from docs/06-verification/03-frameworks/index.md
rename to docs/en/06-verification/03-frameworks/index.md
index 1271a132..bfc6e4d0 100644
--- a/docs/06-verification/03-frameworks/index.md
+++ b/docs/en/06-verification/03-frameworks/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
[Verification][sammv] is one of the business functions described by the [OWASP SAMM][samm]
and both [Security Testing][sammvst] and [Requirements-driven Testing][sammvrt] are an important part of verification.
@@ -13,9 +13,11 @@ Use of a framework can provide:
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0830].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0830] or [edit on GitHub][edit0830].
-[issue0830]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2006-verification/03-frameworks/00-toc
+[edit0830]: https://github.com/OWASP/DevGuide/blob/main/docs/es/08-verification/03-frameworks/index.md
+[issue0830]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2008-verification/03-frameworks/index
[samm]: https://owaspsamm.org/about/
[sammv]: https://owaspsamm.org/model/verification/
[sammvrt]: https://owaspsamm.org/model/verification/requirements-driven-testing/
diff --git a/docs/06-verification/04-vulnerability-management/01-defectdojo.md b/docs/en/06-verification/04-vulnerability-management/01-defectdojo.md
similarity index 92%
rename from docs/06-verification/04-vulnerability-management/01-defectdojo.md
rename to docs/en/06-verification/04-vulnerability-management/01-defectdojo.md
index 11588923..c2d6217f 100644
--- a/docs/06-verification/04-vulnerability-management/01-defectdojo.md
+++ b/docs/en/06-verification/04-vulnerability-management/01-defectdojo.md
@@ -1,4 +1,4 @@
-{ align=right width=250 }
+{ align=right width=250 }
OWASP [DefectDojo][defectdojo] is a DevSecOps tool for vulnerability management.
It provides one platform to orchestrate end-to-end security testing, vulnerability tracking,
@@ -68,7 +68,7 @@ then [submit an issue][issue080401] or [edit on GitHub][edit080401].
[defectdojo-install]: https://docs.defectdojo.com/en/about_defectdojo/new_user_checklist/
[defectdojo-project]: https://owasp.org/www-project-defectdojo/
[defectdojo-tools]: https://www.defectdojo.com/integrations
-[edit080401]: https://github.com/OWASP/DevGuide/blob/main/docs/06-verification/04-vulnerability-management/01-defectdojo.md
+[edit080401]: https://github.com/OWASP/DevGuide/blob/main/docs/en/06-verification/04-vulnerability-management/01-defectdojo.md
[issue080401]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/04-vulnerability-management/01-defectdojo
[purple]: https://www.youtube.com/watch?v=FMUrL3Jzmzg
[threagile]: https://threagile.io
diff --git a/docs/06-verification/04-vulnerability-management/index.md b/docs/en/06-verification/04-vulnerability-management/index.md
similarity index 66%
rename from docs/06-verification/04-vulnerability-management/index.md
rename to docs/en/06-verification/04-vulnerability-management/index.md
index e6647d48..f00f6d65 100644
--- a/docs/06-verification/04-vulnerability-management/index.md
+++ b/docs/en/06-verification/04-vulnerability-management/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
[Verification][sammv] is one of the business functions described by the [OWASP SAMM][samm].
Vulnerability management helps maintain the application security level after bug fixes, changes or during maintenance.
@@ -10,9 +10,11 @@ gives some degree of confidence that applications are not vulnerable to known ex
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0840].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0840] or [edit on GitHub][edit0840].
-[issue0840]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2006-verification/04-vulnerability-management/00-toc
+[edit0840]: https://github.com/OWASP/DevGuide/blob/main/docs/es/08-verification/04-vulnerability-management/index.md
+[issue0840]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2008-verification/04-vulnerability-management/index
[samm]: https://owaspsamm.org/about/
[sammv]: https://owaspsamm.org/model/verification/
[sammvrt]: https://owaspsamm.org/model/verification/requirements-driven-testing/
diff --git a/docs/06-verification/index.md b/docs/en/06-verification/index.md
similarity index 78%
rename from docs/06-verification/index.md
rename to docs/en/06-verification/index.md
index d1b8e1c8..7dfd0083 100644
--- a/docs/06-verification/index.md
+++ b/docs/en/06-verification/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
[Verification][sammv] is one of the business functions described by the [OWASP SAMM][samm].
@@ -27,9 +27,11 @@ Refer to the [Security Culture][culturetest] project section for the various typ
----
-The OWASP Developer Guide is a community effort; if there is something that needs changing then [submit an issue][issue0800].
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0800] or [edit on GitHub][edit0800].
[culturetest]: https://owasp.org/www-project-security-culture/stable/7-Security_Testing/
-[issue0800]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2006-verification/00-toc
+[edit0800]: https://github.com/OWASP/DevGuide/blob/main/docs/en/06-verification/index.md
+[issue0800]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/index
[samm]: https://owaspsamm.org/about/
[sammv]: https://owaspsamm.org/model/verification/
diff --git a/docs/07-training-education/01-vulnerable-apps/01-juice-shop.md b/docs/en/07-training-education/01-vulnerable-apps/01-juice-shop.md
similarity index 94%
rename from docs/07-training-education/01-vulnerable-apps/01-juice-shop.md
rename to docs/en/07-training-education/01-vulnerable-apps/01-juice-shop.md
index 7e6bf5d1..bcfa2869 100644
--- a/docs/07-training-education/01-vulnerable-apps/01-juice-shop.md
+++ b/docs/en/07-training-education/01-vulnerable-apps/01-juice-shop.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The OWASP flagship project [Juice Shop][juice] is a deliberately insecure web application.
Juice Shop encompasses vulnerabilities from the entire OWASP Top Ten
@@ -66,7 +66,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue090101] or [edit on GitHub][edit090101].
[dockerinstall]: https://docs.docker.com/engine/install/
-[edit090101]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/01-vulnerable-apps/01-juice-shop.md
+[edit090101]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/01-vulnerable-apps/01-juice-shop.md
[issue090101]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2007-training-education/01-vulnerable-apps/01-juice-shop
[juice]: https://owasp.org/www-project-juice-shop/
[juicectf]: https://owasp.org/www-project-juice-shop/#div-ctf
diff --git a/docs/07-training-education/01-vulnerable-apps/02-webgoat.md b/docs/en/07-training-education/01-vulnerable-apps/02-webgoat.md
similarity index 94%
rename from docs/07-training-education/01-vulnerable-apps/02-webgoat.md
rename to docs/en/07-training-education/01-vulnerable-apps/02-webgoat.md
index 1c62b9a1..41b99e74 100644
--- a/docs/07-training-education/01-vulnerable-apps/02-webgoat.md
+++ b/docs/en/07-training-education/01-vulnerable-apps/02-webgoat.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The OWASP [WebGoat][webgoat] project is a deliberately insecure web application that can be
used to attack common application vulnerabilities in a safe environment.
@@ -58,7 +58,7 @@ The browser should now be displaying the WebGoat lessons, such as 'Hijack a sess
#### How to use WebWolf
-{ align=right width=180 }
+{ align=right width=180 }
WebWolf is provided alongside both the WebGoat docker images and the WebGoat JAR file.
WebWolf is accessed using port 9090 on the Docker container,
@@ -101,6 +101,6 @@ then [submit an issue][issue090102] or [edit on GitHub][edit090102].
[goatgithub]: https://github.com/WebGoat/WebGoat
[goatreleases]: https://github.com/WebGoat/WebGoat/releases
[dockerinstall]: https://docs.docker.com/engine/install/
-[edit090102]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/01-vulnerable-apps/02-webgoat.md
+[edit090102]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/01-vulnerable-apps/02-webgoat.md
[issue090102]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2007-training-education/01-vulnerable-apps/02-webgoat
[webgoat]: https://owasp.org/www-project-webgoat/
diff --git a/docs/07-training-education/01-vulnerable-apps/03-pygoat.md b/docs/en/07-training-education/01-vulnerable-apps/03-pygoat.md
similarity index 96%
rename from docs/07-training-education/01-vulnerable-apps/03-pygoat.md
rename to docs/en/07-training-education/01-vulnerable-apps/03-pygoat.md
index ff937061..1ce27c11 100644
--- a/docs/07-training-education/01-vulnerable-apps/03-pygoat.md
+++ b/docs/en/07-training-education/01-vulnerable-apps/03-pygoat.md
@@ -60,7 +60,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue090103] or [edit on GitHub][edit090103].
[dockerinstall]: https://docs.docker.com/engine/install/
-[edit090103]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/01-vulnerable-apps/03-pygoat.md
+[edit090103]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/01-vulnerable-apps/03-pygoat.md
[issue090103]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2007-training-education/01-vulnerable-apps/03-pygoat
[pygoat]: https://owasp.org/www-project-pygoat/
[pygoatdocker]: https://github.com/adeyosemanputra/pygoat/blob/master/README.md#from-docker-compose
diff --git a/docs/07-training-education/01-vulnerable-apps/04-security-shepherd.md b/docs/en/07-training-education/01-vulnerable-apps/04-security-shepherd.md
similarity index 95%
rename from docs/07-training-education/01-vulnerable-apps/04-security-shepherd.md
rename to docs/en/07-training-education/01-vulnerable-apps/04-security-shepherd.md
index 9749064d..1eeff605 100644
--- a/docs/07-training-education/01-vulnerable-apps/04-security-shepherd.md
+++ b/docs/en/07-training-education/01-vulnerable-apps/04-security-shepherd.md
@@ -42,7 +42,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue090104] or [edit on GitHub][edit090104].
[csmas]: https://cheatsheetseries.owasp.org/cheatsheets/Mobile_Application_Security_Cheat_Sheet
-[edit090104]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/01-vulnerable-apps/04-security-shepherd.md
+[edit090104]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/01-vulnerable-apps/04-security-shepherd.md
[issue090104]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2007-training-education/01-vulnerable-apps/04-security-shepherd
[sec-shep]: https://owasp.org/www-project-security-shepherd/
[sec-shep-docker]: https://github.com/OWASP/SecurityShepherd/wiki/Docker-Environment-Setup
diff --git a/docs/07-training-education/01-vulnerable-apps/index.md b/docs/en/07-training-education/01-vulnerable-apps/index.md
similarity index 94%
rename from docs/07-training-education/01-vulnerable-apps/index.md
rename to docs/en/07-training-education/01-vulnerable-apps/index.md
index fd9785d7..00d00033 100644
--- a/docs/07-training-education/01-vulnerable-apps/index.md
+++ b/docs/en/07-training-education/01-vulnerable-apps/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
Vulnerable applications are useful for the Training and Education activities
described in the SAMM [Training and Awareness][sammgegta] section,
diff --git a/docs/07-training-education/02-secure-coding-dojo.md b/docs/en/07-training-education/02-secure-coding-dojo.md
similarity index 96%
rename from docs/07-training-education/02-secure-coding-dojo.md
rename to docs/en/07-training-education/02-secure-coding-dojo.md
index 8209bba5..f72df1b9 100644
--- a/docs/07-training-education/02-secure-coding-dojo.md
+++ b/docs/en/07-training-education/02-secure-coding-dojo.md
@@ -50,6 +50,6 @@ then [submit an issue][issue0902] or [edit on GitHub][edit0902].
[codedojo-insecure]: https://github.com/OWASP/SecureCodingDojo/wiki/Running-Insecure.Inc
[codedojo-install]: https://github.com/OWASP/SecureCodingDojo/wiki/Deploying-with-Docker
[codedojo-project]: https://owasp.org/www-project-secure-coding-dojo/
-[edit0902]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/02-secure-coding-dojo.md
+[edit0902]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/02-secure-coding-dojo.md
[issue0902]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2007-training-education/02-secure-coding-dojo
[spotlight14]: https://youtu.be/7nVkDkL9cyE
diff --git a/docs/en/07-training-education/03-skf.md b/docs/en/07-training-education/03-skf.md
new file mode 100644
index 00000000..96e51aa0
--- /dev/null
+++ b/docs/en/07-training-education/03-skf.md
@@ -0,0 +1,73 @@
+{ align=right width=180 }
+
+The [Security Knowledge Framework][skf] (SKF) is a training system that draws on various open source projects
+to train development teams and security architects in building secure applications.
+
+Having been an OWASP flagship project for many years the SKF is now no longer an OWASP project;
+it continues to be referenced in the OWASP Wayfinder and other OWASP projects
+because it is a flagship project for any organization.
+
+#### What is the Security Knowledge Framework?
+
+The [SKF][skf] is a web application that provides training and education for development teams.
+As their website puts it: "Training and guidance for doing AppSec right!"
+
+For example the SKF uses the OWASP [Application Security Verification Standard][asvs] (ASVS) with code examples
+to help developers in pre-development and post-development phases and create applications that are secure by design.
+
+The SKF provides training and guidance in several ways:
+
+* Requirements [organizer][skfreqs]
+* Learning courses and demos:
+ * Developing Secure Software (LFD121)
+ * Understanding the OWASP Top 10 Security Threats (SKF100)
+ * Secure Software Development: Implementation (LFD105x)
+* Practice labs]
+
+Note that SKF is in a process of migrating to a [new repository][skfrepo] so the download link may change.
+
+#### Why use the SKF?
+
+The SKF provides both learning courses and practice labs
+that are useful for development teams to practice secure coding skills.
+
+The following learning courses are available (as of December 2023):
+
+* Developing Secure Software (LFD121)
+* Understanding the OWASP Top 10 Security Threats (SKF100)
+* Secure Software Development: Implementation (LFD105x)
+
+and there are plans for more training courses.
+All of these courses (LFD121, SKF100 and LFD105x) are provided by the [Linux Foundation][linuxtraining].
+
+In addition to the training courses there are a wide range of practice labs (64 as of December 2023).
+
+#### How to use the SKF
+
+The easiest way to get started with the SKF training is to try the online demo from their [main web site][skf].
+This will provide access to the practice labs, the training courses and also to the requirements tool.
+
+Follow the documentation on [installing and using][skfdocs] the SKF.
+
+The OWASP Spotlight series provides an overview of the SKF: 'Project 7 - [Security Knowledge Framework (SKF)][spotlight07]'.
+
+#### References
+
+* [Security Knowledge Framework][skf] (SKF)
+* [SKF requirements][skfreqs]
+* OWASP [Application Security Verification Standard][asvs] (ASVS)
+
+----
+
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0903] or [edit on GitHub][edit0903].
+
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[edit0903]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/03-skf.md
+[issue0903]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2007-training-education/03-security-knowledge-framework
+[linuxtraining]: https://training.linuxfoundation.org/full-catalog/
+[skf]: https://www.securityknowledgeframework.org/
+[skfdocs]: https://skf.readme.io/docs/introduction
+[skfrepo]: https://github.com/Security-Knowledge-Framework
+[skfreqs]: https://github.com/Security-Knowledge-Framework/SKF-requirements-tool
+[spotlight07]: https://youtu.be/TFX_ZBy6lNY
diff --git a/docs/07-training-education/04-samurai-wtf.md b/docs/en/07-training-education/04-samurai-wtf.md
similarity index 91%
rename from docs/07-training-education/04-samurai-wtf.md
rename to docs/en/07-training-education/04-samurai-wtf.md
index 62001101..f2974db1 100644
--- a/docs/07-training-education/04-samurai-wtf.md
+++ b/docs/en/07-training-education/04-samurai-wtf.md
@@ -1,4 +1,4 @@
-{ align=right width=250 }
+{ align=right width=250 }
The OWASP [SamuraiWTF][samurai-wtf] (Web Training and Testing Framework) is a linux desktop distribution
that is intended for application security training.
@@ -24,7 +24,7 @@ This allows instructors to set up a classroom lab, for example, that can be dist
#### Why use it?
-{ align=right width=180 }
+{ align=right width=180 }
SamuraiWTF is easy to use and comes as a virtual machine, which makes it ideal in a teaching environment
or as an attack tool targeted specifically against web applications.
@@ -62,7 +62,7 @@ From a command prompt run 'katana' to start configuring SamuraiWTF for your trai
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue0904] or [edit on GitHub][edit0904].
-[edit0904]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/04-samurai-wtf.md
+[edit0904]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/04-samurai-wtf.md
[issue0904]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2007-training-education/04-samurai-wtf
[kali]: https://www.kali.org/
[samuraiwtf]: https://www.samuraiwtf.org/
diff --git a/docs/07-training-education/05-top-ten.md b/docs/en/07-training-education/05-top-ten.md
similarity index 95%
rename from docs/07-training-education/05-top-ten.md
rename to docs/en/07-training-education/05-top-ten.md
index 98ad0bdc..801d03fc 100644
--- a/docs/07-training-education/05-top-ten.md
+++ b/docs/en/07-training-education/05-top-ten.md
@@ -1,3 +1,5 @@
+{ align=right width=180 }
+
The OWASP Top 10 is a standard awareness document for developers and web application security.
It represents a broad consensus about the most critical security risks to web applications.
@@ -71,7 +73,7 @@ then [submit an issue][issue0905] or [edit on GitHub][edit0905].
[a08]: https://owasp.org/Top10/A08_2021-Software_and_Data_Integrity_Failures/
[a09]: https://owasp.org/Top10/A09_2021-Security_Logging_and_Monitoring_Failures/
[a10]: https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/
-[edit0905]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/05-top-ten.md
+[edit0905]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/05-top-ten.md
[issue0905]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2007-training-education/05-top-ten
[spotlight10]: https://youtu.be/RMkoIrpz8ug
[top10project]: https://owasp.org/www-project-top-ten/
diff --git a/docs/07-training-education/06-mobile-top-ten.md b/docs/en/07-training-education/06-mobile-top-ten.md
similarity index 98%
rename from docs/07-training-education/06-mobile-top-ten.md
rename to docs/en/07-training-education/06-mobile-top-ten.md
index 944592e1..5103a6d3 100644
--- a/docs/07-training-education/06-mobile-top-ten.md
+++ b/docs/en/07-training-education/06-mobile-top-ten.md
@@ -66,7 +66,7 @@ This was then revised during 2016, released in February 2017, to inform the late
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue0906] or [edit on GitHub][edit0906].
-[edit0906]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/06-mobile-top-ten.md
+[edit0906]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/06-mobile-top-ten.md
[enisa]: https://www.enisa.europa.eu/
[issue0906]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2007-training-education/06-mobile-top-ten
[m01]: https://owasp.org/www-project-mobile-top-10/2023-risks/m1-improper-credential-usage.html
diff --git a/docs/07-training-education/07-api-top-ten.md b/docs/en/07-training-education/07-api-top-ten.md
similarity index 93%
rename from docs/07-training-education/07-api-top-ten.md
rename to docs/en/07-training-education/07-api-top-ten.md
index 3a43ccf5..a97d4f3e 100644
--- a/docs/07-training-education/07-api-top-ten.md
+++ b/docs/en/07-training-education/07-api-top-ten.md
@@ -1,3 +1,5 @@
+{ align=right width=180 }
+
The OWASP [API Security Project][apisec] (API Top 10) explains strategies and solutions to help the understanding
and mitigation of the unique vulnerabilities and security risks of Application Programming Interfaces (APIs).
@@ -46,5 +48,5 @@ then [submit an issue][issue0907] or [edit on GitHub][edit0907].
[apisec]: https://owasp.org/API-Security
[apisec-doc]: https://owasp.org/API-Security/editions/2023/en/0x00-header/
[apisec-project]: https://owasp.org/www-project-api-security/
-[edit0907]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/07-api-top-ten.md
+[edit0907]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/07-api-top-ten.md
[issue0907]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2007-training-education/07-api-top-ten
diff --git a/docs/07-training-education/08-wrongsecrets.md b/docs/en/07-training-education/08-wrongsecrets.md
similarity index 92%
rename from docs/07-training-education/08-wrongsecrets.md
rename to docs/en/07-training-education/08-wrongsecrets.md
index 3244058e..8aa1d424 100644
--- a/docs/07-training-education/08-wrongsecrets.md
+++ b/docs/en/07-training-education/08-wrongsecrets.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
OWASP [WrongSecrets][wrongsecrets-project] is a production status project
and provides challenges focused on secrets management using an intentionally vulnerable application and environment.
@@ -55,7 +55,7 @@ then [submit an issue][issue0908] or [edit on GitHub][edit0908].
[cscloud]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Cloud_Architecture_Cheat_Sheet
[ctf]: https://github.com/OWASP/wrongsecrets/blob/master/ctf-instructions.md
-[edit0908]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/08-wrongsecrets.md
+[edit0908]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/08-wrongsecrets.md
[wsheroku]: https://wrongsecrets.herokuapp.com/
[issue0908]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2007-training-education/08-wrongsecrets
[readme]: https://github.com/OWASP/wrongsecrets/blob/master/README.md
diff --git a/docs/07-training-education/09-snakes-ladders.md b/docs/en/07-training-education/09-snakes-ladders.md
similarity index 94%
rename from docs/07-training-education/09-snakes-ladders.md
rename to docs/en/07-training-education/09-snakes-ladders.md
index ffce6421..940c6c06 100644
--- a/docs/07-training-education/09-snakes-ladders.md
+++ b/docs/en/07-training-education/09-snakes-ladders.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
OWASP [Snakes & Ladders][snakes] is an educational project based on the popular board game.
It uses gamification to promote awareness of application security controls and risks,
@@ -64,7 +64,7 @@ then [submit an issue][issue0909] or [edit on GitHub][edit0909].
[cornucopia]: https://owasp.org/www-project-cornucopia/
[csmas]: https://cheatsheetseries.owasp.org/cheatsheets/Mobile_Application_Security_Cheat_Sheet
-[edit0909]: https://github.com/OWASP/DevGuide/blob/main/docs/07-training-education/09-snakes-ladders.md
+[edit0909]: https://github.com/OWASP/DevGuide/blob/main/docs/en/07-training-education/09-snakes-ladders.md
[issue0909]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2007-training-education/09-snakes-ladders
[mobile10-2014]: https://owasp.org/www-project-mobile-top-10/2014-risks/
[mobile10controls]: https://owasp.org/www-project-mobile-top-10/#div-controls
diff --git a/docs/07-training-education/index.md b/docs/en/07-training-education/index.md
similarity index 94%
rename from docs/07-training-education/index.md
rename to docs/en/07-training-education/index.md
index 20073048..f63a685f 100644
--- a/docs/07-training-education/index.md
+++ b/docs/en/07-training-education/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
Training and Education activities are described by in the SAMM [Training and Awareness][sammgegta] section,
which in turn is part of the SAMM [Education & Guidance][sammgeg] security practice
diff --git a/docs/08-culture-process/01-security-culture.md b/docs/en/08-culture-process/01-security-culture.md
similarity index 98%
rename from docs/08-culture-process/01-security-culture.md
rename to docs/en/08-culture-process/01-security-culture.md
index d6588897..07c2117d 100644
--- a/docs/08-culture-process/01-security-culture.md
+++ b/docs/en/08-culture-process/01-security-culture.md
@@ -64,7 +64,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue1001] or [edit on GitHub][edit1001].
[issue1001]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2008-culture-process/01-security-culture
-[edit1001]: https://github.com/OWASP/DevGuide/blob/main/docs/08-culture-process/01-security-culture.md
+[edit1001]: https://github.com/OWASP/DevGuide/blob/main/docs/en/08-culture-process/01-security-culture.md
[culture]: https://owasp.org/www-project-security-culture/
[cultureacts]: https://owasp.org/www-project-security-culture/stable/5-Activities/
[culturechamps]: https://owasp.org/www-project-security-culture/stable/4-Security_Champions/
diff --git a/docs/08-culture-process/02-security-champions/01-security-champions-program.md b/docs/en/08-culture-process/02-security-champions/01-security-champions-program.md
similarity index 97%
rename from docs/08-culture-process/02-security-champions/01-security-champions-program.md
rename to docs/en/08-culture-process/02-security-champions/01-security-champions-program.md
index daafda43..ce2cbdb0 100644
--- a/docs/08-culture-process/02-security-champions/01-security-champions-program.md
+++ b/docs/en/08-culture-process/02-security-champions/01-security-champions-program.md
@@ -74,7 +74,7 @@ increase the effectiveness of the application security team and improve the secu
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue1021] or [edit on GitHub][edit1021].
-[edit1021]: https://github.com/OWASP/DevGuide/blob/main/docs/08-culture-process/02-security-champions/01-security-champions-program.md
+[edit1021]: https://github.com/OWASP/DevGuide/blob/main/docs/en/08-culture-process/02-security-champions/01-security-champions-program.md
[issue1021]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2008-culture-process/02-security-champions/01-security-champions-program
[sammgegoc]: https://owaspsamm.org/model/governance/education-and-guidance/stream-b/
[scguide]: https://owasp.org/www-project-security-champions-guidebook/
diff --git a/docs/08-culture-process/02-security-champions/02-security-champions-guide.md b/docs/en/08-culture-process/02-security-champions/02-security-champions-guide.md
similarity index 94%
rename from docs/08-culture-process/02-security-champions/02-security-champions-guide.md
rename to docs/en/08-culture-process/02-security-champions/02-security-champions-guide.md
index 27bea370..b00416c1 100644
--- a/docs/08-culture-process/02-security-champions/02-security-champions-guide.md
+++ b/docs/en/08-culture-process/02-security-champions/02-security-champions-guide.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The OWASP [Security Champions Guide][scguide] is a guidebook that helps organizations build
a security champions program that can succeed over the long term.
@@ -67,7 +67,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue1022] or [edit on GitHub][edit1022].
[issue1022]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2008-culture-process/02-security-champions/02-security-champions-guide
-[edit1022]: https://github.com/OWASP/DevGuide/blob/main/docs/08-culture-process/02-security-champions/02-security-champions-guide.md
+[edit1022]: https://github.com/OWASP/DevGuide/blob/main/docs/en/08-culture-process/02-security-champions/02-security-champions-guide.md
[scguide]: https://owasp.org/www-project-security-champions-guidebook/
[scguidedoc]: https://owasp.org/www-project-security-champions-guidebook/#div-principles
[scguiderepo]: https://github.com/OWASP/www-project-security-champions-guidebook
diff --git a/docs/08-culture-process/02-security-champions/03-security-champions-playbook.md b/docs/en/08-culture-process/02-security-champions/03-security-champions-playbook.md
similarity index 94%
rename from docs/08-culture-process/02-security-champions/03-security-champions-playbook.md
rename to docs/en/08-culture-process/02-security-champions/03-security-champions-playbook.md
index 4d951709..16882ad5 100644
--- a/docs/08-culture-process/02-security-champions/03-security-champions-playbook.md
+++ b/docs/en/08-culture-process/02-security-champions/03-security-champions-playbook.md
@@ -35,5 +35,5 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue1023] or [edit on GitHub][edit1023].
[issue1023]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2008-culture-process/02-security-champions/03-security-champions-playbook
-[edit1023]: https://github.com/OWASP/DevGuide/blob/main/docs/08-culture-process/02-security-champions/03-security-champions-playbook.md
+[edit1023]: https://github.com/OWASP/DevGuide/blob/main/docs/en/08-culture-process/02-security-champions/03-security-champions-playbook.md
[sec-champs]: https://github.com/c0rdis/security-champions-playbook
diff --git a/docs/08-culture-process/02-security-champions/index.md b/docs/en/08-culture-process/02-security-champions/index.md
similarity index 95%
rename from docs/08-culture-process/02-security-champions/index.md
rename to docs/en/08-culture-process/02-security-champions/index.md
index 7ae752c1..3a472409 100644
--- a/docs/08-culture-process/02-security-champions/index.md
+++ b/docs/en/08-culture-process/02-security-champions/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
A 'Security Champion' is a member of a software development team who is
the liaison between Information Security and developers.
diff --git a/docs/08-culture-process/03-samm.md b/docs/en/08-culture-process/03-samm.md
similarity index 95%
rename from docs/08-culture-process/03-samm.md
rename to docs/en/08-culture-process/03-samm.md
index d18ddf34..2efc5315 100644
--- a/docs/08-culture-process/03-samm.md
+++ b/docs/en/08-culture-process/03-samm.md
@@ -1,4 +1,4 @@
-{ align=right width=250 }
+{ align=right width=250 }
The [Software Assurance Maturity Model][samm] (SAMM) project provides an effective and measurable way for
an organization to analyze and improve their secure development lifecycle processes.
@@ -62,7 +62,7 @@ which can be used as feedback into the culture of the organization.
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue1003] or [edit on GitHub][edit1003].
-[edit1003]: https://github.com/OWASP/DevGuide/blob/main/docs/08-culture-process/03-samm.md
+[edit1003]: https://github.com/OWASP/DevGuide/blob/main/docs/en/08-culture-process/03-samm.md
[issue1003]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2008-culture-process/03-samm
[samm]: https://owaspsamm.org/about/
[samma]: https://owaspsamm.org/assessment/
diff --git a/docs/08-culture-process/04-asvs.md b/docs/en/08-culture-process/04-asvs.md
similarity index 94%
rename from docs/08-culture-process/04-asvs.md
rename to docs/en/08-culture-process/04-asvs.md
index 2c29d684..a28d4817 100644
--- a/docs/08-culture-process/04-asvs.md
+++ b/docs/en/08-culture-process/04-asvs.md
@@ -1,3 +1,5 @@
+{ align=right width=180 }
+
The [Application Security Verification Standard][asvs] (ASVS) is a long established OWASP flagship project,
and is widely used to build a culture of security as well as verification of web applications.
@@ -68,6 +70,12 @@ requirements and incorporate them into the process and culture of the organizati
To help navigate the ASVS, the OWASP Cheat Sheets have been indexed specifically
for [each section of the ASVS][csasvs] which can be used to explain and expand on each requirements category.
+#### References
+
+* OWASP [Application Security Verification Standard][asvs] (ASVS)
+* OWASP [Cheat Sheets for ASVS][csasvs]
+* OWASP [SecurityRAT][srat]
+
----
The OWASP Developer Guide is a community effort; if there is something that needs changing
@@ -91,7 +99,7 @@ then [submit an issue][issue1004] or [edit on GitHub][edit1004].
[asvsV13]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x21-V13-API.md#v13-api-and-web-service
[asvsV14]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x22-V14-Config.md#v14-configuration
[csasvs]: https://cheatsheetseries.owasp.org/IndexASVS.html
-[edit1004]: https://github.com/OWASP/DevGuide/blob/main/docs/08-culture-process/04-asvs.md
+[edit1004]: https://github.com/OWASP/DevGuide/blob/main/docs/en/08-culture-process/04-asvs.md
[issue1004]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2008-culture-process/04-asvs
[spotlight19]: https://youtu.be/3puIavsZfAk
[srat]: https://owasp.org/www-project-securityrat/
diff --git a/docs/08-culture-process/05-mas.md b/docs/en/08-culture-process/05-mas.md
similarity index 92%
rename from docs/08-culture-process/05-mas.md
rename to docs/en/08-culture-process/05-mas.md
index 056a3616..494994dd 100644
--- a/docs/08-culture-process/05-mas.md
+++ b/docs/en/08-culture-process/05-mas.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The [MAS Verification Standard][masvs] (MASVS) explains the processes, techniques
and tools used for security testing a mobile application.
@@ -42,7 +42,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue1005] or [edit on GitHub][edit1005].
[csmas]: https://cheatsheetseries.owasp.org/cheatsheets/Mobile_Application_Security_Cheat_Sheet
-[edit1005]: https://github.com/OWASP/DevGuide/blob/main/docs/08-culture-process/05-mas.md
+[edit1005]: https://github.com/OWASP/DevGuide/blob/main/docs/en/08-culture-process/05-mas.md
[issue1005]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2008-culture-process/05-mas
[mas]: https://mas.owasp.org/
[masproject]: https://owasp.org/www-project-mobile-app-security/
diff --git a/docs/08-culture-process/index.md b/docs/en/08-culture-process/index.md
similarity index 91%
rename from docs/08-culture-process/index.md
rename to docs/en/08-culture-process/index.md
index d8b2aafa..76f0027b 100644
--- a/docs/08-culture-process/index.md
+++ b/docs/en/08-culture-process/index.md
@@ -1,4 +1,4 @@
-[Developer guide logo](../assets/images/dg_logo.png "OWASP Developer Guide"){ align=right width=180 }
+[Developer guide logo](../../assets/images/dg_logo.png "OWASP Developer Guide"){ align=right width=180 }
Culture building and Process maturing is described by the SAMM [Organization and Culture][sammgegoc] activity,
which in turn is part of the SAMM [Education & Guidance][sammgeg] security practice
diff --git a/docs/09-operations/01-devsecops.md b/docs/en/09-operations/01-devsecops.md
similarity index 95%
rename from docs/09-operations/01-devsecops.md
rename to docs/en/09-operations/01-devsecops.md
index 3426c12d..e649e046 100644
--- a/docs/09-operations/01-devsecops.md
+++ b/docs/en/09-operations/01-devsecops.md
@@ -20,8 +20,8 @@ It then explains and illustrates various vulnerability scanning steps commonly u
* Dynamic Application Security Testing ([DAST][dsodast])
* Interactive Application Security Testing ([IAST][dsoiast])
* Software Composition Analysis ([SCA][dsosca])
-* [Infrastructure Vulnerability Scanning][dsocvs]
-* [Container Vulnerability Scanning][dsoivs]
+* [Infrastructure Vulnerability Scanning][dsoivs]
+* [Container Vulnerability Scanning][dsocvs]
The DevSecOps Guideline is a concise guide that provides the foundational knowledge to implement DevSecOps.
@@ -60,5 +60,5 @@ then [submit an issue][issue1101] or [edit on GitHub][edit1101].
[dsopdf]: https://github.com/OWASP/DevSecOpsGuideline/releases
[dsosast]: https://owasp.org/www-project-devsecops-guideline/latest/02a-Static-Application-Security-Testing
[dsosca]: https://owasp.org/www-project-devsecops-guideline/latest/02d-Software-Composition-Analysis
-[edit1101]: https://github.com/OWASP/DevGuide/blob/main/docs/09-operations/01-devsecops.md
+[edit1101]: https://github.com/OWASP/DevGuide/blob/main/docs/en/09-operations/01-devsecops.md
[issue1101]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2009-operations/01-devsecops
diff --git a/docs/09-operations/02-coraza.md b/docs/en/09-operations/02-coraza.md
similarity index 93%
rename from docs/09-operations/02-coraza.md
rename to docs/en/09-operations/02-coraza.md
index 046aee23..afb10cad 100644
--- a/docs/09-operations/02-coraza.md
+++ b/docs/en/09-operations/02-coraza.md
@@ -1,4 +1,4 @@
-{ align=right width=300 }
+{ align=right width=300 }
The [OWASP Coraza][coraza-project] project provides a golang enterprise-grade Web Application Firewall framework
that supports the [ModSecurity][modsec] seclang language and is completely compatible with OWASP [CRS][crs].
@@ -56,7 +56,7 @@ then [submit an issue][issue1102] or [edit on GitHub][edit1102].
[coraza-tutorial]: https://coraza.io/docs/tutorials/quick-start/
[coraza-wasm]: https://github.com/corazawaf/coraza-proxy-wasm
[cscloud]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Cloud_Architecture_Cheat_Sheet
-[edit1102]: https://github.com/OWASP/DevGuide/blob/main/docs/09-operations/02-coraza.md
+[edit1102]: https://github.com/OWASP/DevGuide/blob/main/docs/en/09-operations/02-coraza.md
[issue1102]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2009-operations/02-coraza
[crs]: https://coreruleset.org/
[modsec]: https://owasp.org/www-project-modsecurity/
diff --git a/docs/09-operations/03-modsecurity.md b/docs/en/09-operations/03-modsecurity.md
similarity index 96%
rename from docs/09-operations/03-modsecurity.md
rename to docs/en/09-operations/03-modsecurity.md
index 06c76b3b..94b1a3c3 100644
--- a/docs/09-operations/03-modsecurity.md
+++ b/docs/en/09-operations/03-modsecurity.md
@@ -37,7 +37,7 @@ then [submit an issue][issue1103] or [edit on GitHub][edit1103].
[coraza]: https://coraza.io/
[crs]: https://coreruleset.org/
[cscloud]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Cloud_Architecture_Cheat_Sheet
-[edit1103]: https://github.com/OWASP/DevGuide/blob/main/docs/09-operations/03-modsecurity.md
+[edit1103]: https://github.com/OWASP/DevGuide/blob/main/docs/en/09-operations/03-modsecurity.md
[issue1103]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2009-operations/03-modsecurity
[modsec]: https://owasp.org/www-project-modsecurity/
[modsec-docs]: https://www.modsecurity.org/
diff --git a/docs/09-operations/04-crs.md b/docs/en/09-operations/04-crs.md
similarity index 93%
rename from docs/09-operations/04-crs.md
rename to docs/en/09-operations/04-crs.md
index 3ed3accb..9bd23b1d 100644
--- a/docs/09-operations/04-crs.md
+++ b/docs/en/09-operations/04-crs.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The [OWASP CRS][crs-project] project, formerly known as Core Rule Set, is a set of generic attack detection rules
for use with [ModSecurity][modsec] compatible web application firewalls such as [OWASP Coraza][coraza].
@@ -42,7 +42,7 @@ then [submit an issue][issue1104] or [edit on GitHub][edit1104].
[coraza]: https://coraza.io/
[coraza-tutorial]: https://coraza.io/docs/tutorials/quick-start/
-[edit1104]: https://github.com/OWASP/DevGuide/blob/main/docs/09-operations/04-crs.md
+[edit1104]: https://github.com/OWASP/DevGuide/blob/main/docs/en/09-operations/04-crs.md
[issue1104]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2009-operations/04-crs
[crs]: https://coreruleset.org/
[crs-download]: https://coreruleset.org/docs/deployment/install/
diff --git a/docs/09-operations/index.md b/docs/en/09-operations/index.md
similarity index 93%
rename from docs/09-operations/index.md
rename to docs/en/09-operations/index.md
index c8133964..8ca27c23 100644
--- a/docs/09-operations/index.md
+++ b/docs/en/09-operations/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
Operations are those activities necessary to ensure that confidentiality, integrity, and availability
are maintained throughout the operational lifetime of an application and its associated data.
diff --git a/docs/10-metrics/index.md b/docs/en/10-metrics/index.md
similarity index 100%
rename from docs/10-metrics/index.md
rename to docs/en/10-metrics/index.md
diff --git a/docs/11-security-gap-analysis/01-guides/01-samm.md b/docs/en/11-security-gap-analysis/01-guides/01-samm.md
similarity index 96%
rename from docs/11-security-gap-analysis/01-guides/01-samm.md
rename to docs/en/11-security-gap-analysis/01-guides/01-samm.md
index d58cbed9..98ea7280 100644
--- a/docs/11-security-gap-analysis/01-guides/01-samm.md
+++ b/docs/en/11-security-gap-analysis/01-guides/01-samm.md
@@ -1,4 +1,4 @@
-{ align=right width=250 }
+{ align=right width=250 }
The [Software Assurance Maturity Model][samm] (SAMM) project provides an effective and measurable way for
an organization to analyze their secure development lifecycle, and identify any gaps or improvements.
@@ -73,7 +73,7 @@ Each Business Practice is further subdivided into two streams which provide diff
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue130101] or [edit on GitHub][edit130101].
-[edit130101]: https://github.com/OWASP/DevGuide/blob/main/docs/11-security-gap-analysis/01-guides/01-samm.md
+[edit130101]: https://github.com/OWASP/DevGuide/blob/main/docs/en/11-security-gap-analysis/01-guides/01-samm.md
[issue130101]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2011-security-gap-analysis/01-guides/01-samm
[samm]: https://owaspsamm.org/about/
[samma]: https://owaspsamm.org/assessment/
diff --git a/docs/11-security-gap-analysis/01-guides/02-asvs.md b/docs/en/11-security-gap-analysis/01-guides/02-asvs.md
similarity index 95%
rename from docs/11-security-gap-analysis/01-guides/02-asvs.md
rename to docs/en/11-security-gap-analysis/01-guides/02-asvs.md
index 7bec067c..86c77a6e 100644
--- a/docs/11-security-gap-analysis/01-guides/02-asvs.md
+++ b/docs/en/11-security-gap-analysis/01-guides/02-asvs.md
@@ -1,3 +1,5 @@
+{ align=right width=180 }
+
The [Application Security Verification Standard][asvs] (ASVS) is a long established OWASP flagship project,
and is widely used to identify gaps in security as well as the verification of web applications.
@@ -62,6 +64,6 @@ then [submit an issue][issue130102] or [edit on GitHub][edit130102].
[asvsV13]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x21-V13-API.md#v13-api-and-web-service
[asvsV14]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x22-V14-Config.md#v14-configuration
[csasvs]: https://cheatsheetseries.owasp.org/IndexASVS.html
-[edit130102]: https://github.com/OWASP/DevGuide/blob/main/docs/11-security-gap-analysis/01-guides/02-asvs.md
+[edit130102]: https://github.com/OWASP/DevGuide/blob/main/docs/en/11-security-gap-analysis/01-guides/02-asvs.md
[issue130102]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2011-security-gap-analysis/01-guides/02-asvs
[spotlight19]: https://youtu.be/3puIavsZfAk
diff --git a/docs/11-security-gap-analysis/01-guides/03-mas.md b/docs/en/11-security-gap-analysis/01-guides/03-mas.md
similarity index 94%
rename from docs/11-security-gap-analysis/01-guides/03-mas.md
rename to docs/en/11-security-gap-analysis/01-guides/03-mas.md
index 7b28e22c..757ac7cc 100644
--- a/docs/11-security-gap-analysis/01-guides/03-mas.md
+++ b/docs/en/11-security-gap-analysis/01-guides/03-mas.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
The OWASP [Mobile Application Security][masproject] (MAS) flagship project provides
industry standards for mobile application security.
@@ -58,7 +58,7 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue130103] or [edit on GitHub][edit130103].
[csmas]: https://cheatsheetseries.owasp.org/cheatsheets/Mobile_Application_Security_Cheat_Sheet
-[edit130103]: https://github.com/OWASP/DevGuide/blob/main/docs/11-security-gap-analysis/01-guides/03-mas.md
+[edit130103]: https://github.com/OWASP/DevGuide/blob/main/docs/en/11-security-gap-analysis/01-guides/03-mas.md
[issue130103]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2011-security-gap-analysis/01-guides/03-mas
[mas]: https://mas.owasp.org/
[masproject]: https://owasp.org/www-project-mobile-app-security/
diff --git a/docs/11-security-gap-analysis/01-guides/index.md b/docs/en/11-security-gap-analysis/01-guides/index.md
similarity index 89%
rename from docs/11-security-gap-analysis/01-guides/index.md
rename to docs/en/11-security-gap-analysis/01-guides/index.md
index 64f2ea34..ea94f13b 100644
--- a/docs/11-security-gap-analysis/01-guides/index.md
+++ b/docs/en/11-security-gap-analysis/01-guides/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
Security gap analysis and security gap evaluation are central to Governance, Risk & Compliance activities
and are used to gain and maintain certification to a management system standard
diff --git a/docs/11-security-gap-analysis/02-blt.md b/docs/en/11-security-gap-analysis/02-blt.md
similarity index 91%
rename from docs/11-security-gap-analysis/02-blt.md
rename to docs/en/11-security-gap-analysis/02-blt.md
index abb9a3b9..8b325d4d 100644
--- a/docs/11-security-gap-analysis/02-blt.md
+++ b/docs/en/11-security-gap-analysis/02-blt.md
@@ -1,3 +1,5 @@
+{ align=right width=180 }
+
The OWASP [Bug Logging Tool][blt] (BLT) is a community database of bugs found in an organization's web site or application.
BLT is an OWASP Production tool project and has its own [bug recording site][bltsite].
@@ -39,7 +41,7 @@ then [submit an issue][issue1302] or [edit on GitHub][edit1302].
[bltchrome]: https://github.com/OWASP/BLT-Extension
[bltcore]: https://github.com/OWASP/BLT
[bltapp]: https://github.com/OWASP/BLT-Flutter
-[bltsite]: https://blt.owasp.org/
+[bltsite]: https://owaspblt.org/
[csdisclose]: https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet
-[edit1302]: https://github.com/OWASP/DevGuide/blob/main/docs/11-security-gap-analysis/02-blt.md
+[edit1302]: https://github.com/OWASP/DevGuide/blob/main/docs/en/11-security-gap-analysis/02-blt.md
[issue1302]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2011-security-gap-analysis/02-blt
diff --git a/docs/11-security-gap-analysis/index.md b/docs/en/11-security-gap-analysis/index.md
similarity index 92%
rename from docs/11-security-gap-analysis/index.md
rename to docs/en/11-security-gap-analysis/index.md
index 200bde15..1cab2688 100644
--- a/docs/11-security-gap-analysis/index.md
+++ b/docs/en/11-security-gap-analysis/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
A security gap analysis is an activity where the information security posture of an organization is assessed
and any shortfalls or operation gaps are identified.
diff --git a/docs/12-appendices/01-implementation-dos-donts/01-container-security.md b/docs/en/12-appendices/01-implementation-dos-donts/01-container-security.md
similarity index 98%
rename from docs/12-appendices/01-implementation-dos-donts/01-container-security.md
rename to docs/en/12-appendices/01-implementation-dos-donts/01-container-security.md
index 3331e6a3..d2f673ea 100644
--- a/docs/12-appendices/01-implementation-dos-donts/01-container-security.md
+++ b/docs/en/12-appendices/01-implementation-dos-donts/01-container-security.md
@@ -120,5 +120,5 @@ The OWASP Developer Guide is a community effort; if there is something that need
then [submit an issue][issue140101] or [edit on GitHub][edit140101].
[docker]: https://docs.docker.com/get-started/09_image_best/
-[edit140101]: https://github.com/OWASP/DevGuide/blob/main/docs/12-appendices/01-implementation-dos-donts/01-container-security.md
+[edit140101]: https://github.com/OWASP/DevGuide/blob/main/docs/en/12-appendices/01-implementation-dos-donts/01-container-security.md
[issue140101]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%20/12-appendices/01-implementation-dos-donts/01-container-security
diff --git a/docs/12-appendices/01-implementation-dos-donts/02-secure-coding.md b/docs/en/12-appendices/01-implementation-dos-donts/02-secure-coding.md
similarity index 99%
rename from docs/12-appendices/01-implementation-dos-donts/02-secure-coding.md
rename to docs/en/12-appendices/01-implementation-dos-donts/02-secure-coding.md
index 6c24df39..6858a39e 100644
--- a/docs/12-appendices/01-implementation-dos-donts/02-secure-coding.md
+++ b/docs/en/12-appendices/01-implementation-dos-donts/02-secure-coding.md
@@ -320,7 +320,7 @@ Also not exploitable: `{""result"": [{""object"": ""inside an array""}]}"`
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue140102] or [edit on GitHub][edit140102].
-[edit140102]: https://github.com/OWASP/DevGuide/blob/main/docs/12-appendices/01-implementation-dos-donts/02-secure-coding.md
+[edit140102]: https://github.com/OWASP/DevGuide/blob/main/docs/en/12-appendices/01-implementation-dos-donts/02-secure-coding.md
[issue140102]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%20/12-appendices/01-implementation-dos-donts/02-secure-coding
[rfc7518]: https://www.rfc-editor.org/rfc/rfc7518
[trace]: https://www.blackhillsinfosec.com/three-minutes-with-the-http-trace-method/
diff --git a/docs/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md b/docs/en/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
similarity index 96%
rename from docs/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
rename to docs/en/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
index d49107b0..f815fe90 100644
--- a/docs/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
+++ b/docs/en/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
@@ -54,5 +54,5 @@ Here is a collection of Do's and Don'ts when it comes to cryptographic practices
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue140103] or [edit on GitHub][edit140103].
-[edit140103]: https://github.com/OWASP/DevGuide/blob/main/docs/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
+[edit140103]: https://github.com/OWASP/DevGuide/blob/main/docs/en/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
[issue140103]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%20/12-appendices/01-implementation-dos-donts/03-cryptographic-practices
diff --git a/docs/12-appendices/01-implementation-dos-donts/04-application-spoofing.md b/docs/en/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
similarity index 95%
rename from docs/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
rename to docs/en/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
index bd2114a9..3a887fc1 100644
--- a/docs/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
+++ b/docs/en/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
@@ -61,6 +61,6 @@ How can it be addressed:
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue140104] or [edit on GitHub][edit140104].
-[edit140104]: https://github.com/OWASP/DevGuide/blob/main/docs/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
+[edit140104]: https://github.com/OWASP/DevGuide/blob/main/docs/en/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
[issue140104]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%20/12-appendices/01-implementation-dos-donts/04-application-spoofing
[urdp]: https://www.icann.org/resources/pages/help/dndr/udrp-en
diff --git a/docs/12-appendices/01-implementation-dos-donts/05-content-security-policy.md b/docs/en/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
similarity index 94%
rename from docs/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
rename to docs/en/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
index 47f24e2a..89e61314 100644
--- a/docs/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
+++ b/docs/en/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
@@ -43,8 +43,6 @@ For web applications, the source of all content is set to self.
- `default-src` 'self'
- `script-src` 'self';
-- `script-src` `unsafe-inline` `unsafe-eval` https:; (I am fairly sure this is used to block unsafe inline scripts
- and `eval` but to be checked) - Have checked now and `unsafe-inline` should not be used
- `connect-src` 'self';
- `img-src` 'self';
- `style-src` 'self'
@@ -141,5 +139,5 @@ Setting rules for Android application:
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue140105] or [edit on GitHub][edit140105].
-[edit140105]: https://github.com/OWASP/DevGuide/blob/main/docs/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
+[edit140105]: https://github.com/OWASP/DevGuide/blob/main/docs/en/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
[issue140105]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%20/12-appendices/01-implementation-dos-donts/05-content-security-policy
diff --git a/docs/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md b/docs/en/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
similarity index 97%
rename from docs/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
rename to docs/en/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
index 308b2877..c7ee9293 100644
--- a/docs/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
+++ b/docs/en/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
@@ -89,5 +89,5 @@ or a technical standpoint;
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue140106] or [edit on GitHub][edit140106].
-[edit140106]: https://github.com/OWASP/DevGuide/blob/main/docs/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
+[edit140106]: https://github.com/OWASP/DevGuide/blob/main/docs/en/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
[issue140106]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%20/12-appendices/01-implementation-dos-donts/06-exception-error-handling
diff --git a/docs/12-appendices/01-implementation-dos-donts/07-file-management.md b/docs/en/12-appendices/01-implementation-dos-donts/07-file-management.md
similarity index 94%
rename from docs/12-appendices/01-implementation-dos-donts/07-file-management.md
rename to docs/en/12-appendices/01-implementation-dos-donts/07-file-management.md
index 46f17d55..f7b4e297 100644
--- a/docs/12-appendices/01-implementation-dos-donts/07-file-management.md
+++ b/docs/en/12-appendices/01-implementation-dos-donts/07-file-management.md
@@ -31,5 +31,5 @@ Here is a collection of Do's and Don'ts when it comes to file management, gather
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue140107] or [edit on GitHub][edit140107].
-[edit140107]: https://github.com/OWASP/DevGuide/blob/main/docs/12-appendices/01-implementation-dos-donts/07-file-management.md
+[edit140107]: https://github.com/OWASP/DevGuide/blob/main/docs/en/12-appendices/01-implementation-dos-donts/07-file-management.md
[issue140107]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%20/12-appendices/01-implementation-dos-donts/07-file-management
diff --git a/docs/12-appendices/01-implementation-dos-donts/08-memory-management.md b/docs/en/12-appendices/01-implementation-dos-donts/08-memory-management.md
similarity index 89%
rename from docs/12-appendices/01-implementation-dos-donts/08-memory-management.md
rename to docs/en/12-appendices/01-implementation-dos-donts/08-memory-management.md
index e55ba19e..70514f45 100644
--- a/docs/12-appendices/01-implementation-dos-donts/08-memory-management.md
+++ b/docs/en/12-appendices/01-implementation-dos-donts/08-memory-management.md
@@ -15,5 +15,5 @@ Here is a collection of Do's and Don'ts when it comes to memory management, gath
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue140108] or [edit on GitHub][edit140108].
-[edit140108]: https://github.com/OWASP/DevGuide/blob/main/docs/12-appendices/01-implementation-dos-donts/08-memory-management.md
+[edit140108]: https://github.com/OWASP/DevGuide/blob/main/docs/en/12-appendices/01-implementation-dos-donts/08-memory-management.md
[issue140108]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2012-appendices/01-implementation-dos-donts/08-memory-management
diff --git a/docs/12-appendices/01-implementation-dos-donts/index.md b/docs/en/12-appendices/01-implementation-dos-donts/index.md
similarity index 87%
rename from docs/12-appendices/01-implementation-dos-donts/index.md
rename to docs/en/12-appendices/01-implementation-dos-donts/index.md
index f18979cd..3e6a5c81 100644
--- a/docs/12-appendices/01-implementation-dos-donts/index.md
+++ b/docs/en/12-appendices/01-implementation-dos-donts/index.md
@@ -1,4 +1,4 @@
-[Developer guide logo](../../assets/images/dg_logo_bbd.png "OWASP Developer Guide"){ align=right width=180 }
+[Developer guide logo](../../../assets/images/dg_logo_bbd.png "OWASP Developer Guide"){ align=right width=180 }
Implementation demands technical knowledge, skill and experience.
There is no substitute for experience, but learning from past mistakes and the experience of others can go a long way.
diff --git a/docs/12-appendices/02-verification-dos-donts/01-secure-environment.md b/docs/en/12-appendices/02-verification-dos-donts/01-secure-environment.md
similarity index 96%
rename from docs/12-appendices/02-verification-dos-donts/01-secure-environment.md
rename to docs/en/12-appendices/02-verification-dos-donts/01-secure-environment.md
index ebbff01e..1f394b00 100644
--- a/docs/12-appendices/02-verification-dos-donts/01-secure-environment.md
+++ b/docs/en/12-appendices/02-verification-dos-donts/01-secure-environment.md
@@ -55,5 +55,5 @@ Some of these are language specific and others have more general applicability.
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue140201] or [edit on GitHub][edit140201].
-[edit140201]: https://github.com/OWASP/DevGuide/blob/main/docs/12-appendices/02-verification-dos-donts/01-secure-environment.md
+[edit140201]: https://github.com/OWASP/DevGuide/blob/main/docs/en/12-appendices/02-verification-dos-donts/01-secure-environment.md
[issue140201]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2012-appendices/02-verification-dos-donts/01-secure-environment
diff --git a/docs/12-appendices/02-verification-dos-donts/02-system-hardening.md b/docs/en/12-appendices/02-verification-dos-donts/02-system-hardening.md
similarity index 96%
rename from docs/12-appendices/02-verification-dos-donts/02-system-hardening.md
rename to docs/en/12-appendices/02-verification-dos-donts/02-system-hardening.md
index 6ca61a1c..1431ecde 100644
--- a/docs/12-appendices/02-verification-dos-donts/02-system-hardening.md
+++ b/docs/en/12-appendices/02-verification-dos-donts/02-system-hardening.md
@@ -61,5 +61,5 @@ Some of these are language specific and others have more general applicability.
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue140202] or [edit on GitHub][edit140202].
-[edit140202]: https://github.com/OWASP/DevGuide/blob/main/docs/12-appendices/02-verification-dos-donts/02-system-hardening.md
+[edit140202]: https://github.com/OWASP/DevGuide/blob/main/docs/en/12-appendices/02-verification-dos-donts/02-system-hardening.md
[issue140202]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2012-appendices/02-verification-dos-donts/02-system-hardening
diff --git a/docs/12-appendices/02-verification-dos-donts/03-open-source-software.md b/docs/en/12-appendices/02-verification-dos-donts/03-open-source-software.md
similarity index 94%
rename from docs/12-appendices/02-verification-dos-donts/03-open-source-software.md
rename to docs/en/12-appendices/02-verification-dos-donts/03-open-source-software.md
index 97ccb8dd..8eeba498 100644
--- a/docs/12-appendices/02-verification-dos-donts/03-open-source-software.md
+++ b/docs/en/12-appendices/02-verification-dos-donts/03-open-source-software.md
@@ -20,7 +20,7 @@ We realize it could be challenging, but if feasible, maintain a list of approved
* Where possible use version pinning
* Where possible use integrity verification
* Check for vulnerabilities for the selected binaries in vulnerability disclosure databases like
- * CVE database (`https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=bouncy+castle`)
+ * CVE database (`https://www.cve.org/CVERecord/SearchResults?query=bouncy+castle`)
* VulnDB (`https://vuldb.com/?id.173918`)
* If within the budget of your organization, use an SCA tool to scan for vulnerabilities
* Always vet and perform due-diligence on third-party modules that you install
@@ -84,7 +84,7 @@ We realize it could be challenging, but if feasible, maintain a list of approved
* Lock files
* Monitor vulnerabilities with:
* Check for vulnerabilities for the selected binaries in vulnerability disclosure databases like
- * CVE database (`https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=bouncy+castle`)
+ * CVE database (`https://www.cve.org/CVERecord/SearchResults?query=bouncy+castle`)
* VulnDB (`https://vuldb.com/?id.173918`)
* If within the budget of your organization, use an SCA tool to scan for vulnerabilities
@@ -97,5 +97,5 @@ We realize it could be challenging, but if feasible, maintain a list of approved
The OWASP Developer Guide is a community effort; if there is something that needs changing
then [submit an issue][issue140203] or [edit on GitHub][edit140203].
-[edit140203]: https://github.com/OWASP/DevGuide/blob/main/docs/12-appendices/02-verification-dos-donts/03-open-source-software.md
+[edit140203]: https://github.com/OWASP/DevGuide/blob/main/docs/en/12-appendices/02-verification-dos-donts/03-open-source-software.md
[issue140203]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2012-appendices/02-verification-dos-donts/03-open-source-software
diff --git a/docs/12-appendices/02-verification-dos-donts/index.md b/docs/en/12-appendices/02-verification-dos-donts/index.md
similarity index 84%
rename from docs/12-appendices/02-verification-dos-donts/index.md
rename to docs/en/12-appendices/02-verification-dos-donts/index.md
index 8a6b5c88..47812209 100644
--- a/docs/12-appendices/02-verification-dos-donts/index.md
+++ b/docs/en/12-appendices/02-verification-dos-donts/index.md
@@ -1,4 +1,4 @@
-{ align=right width=180 }
+{ align=right width=180 }
[Verification][sammv] is one of the business functions described by the [OWASP SAMM][samm].
diff --git a/docs/es/02-foundations/01-security-fundamentals.md b/docs/es/02-foundations/01-security-fundamentals.md
new file mode 100644
index 00000000..1e65831a
--- /dev/null
+++ b/docs/es/02-foundations/01-security-fundamentals.md
@@ -0,0 +1,195 @@
+Los principios fundamentales de la seguridad de aplicaciones se basan en los conceptos de seguridad
+a los que se hace referencia en esta Guía del Desarrollador.
+Esta sección tiene como objetivo proporcionar una introducción a los principios fundamentales
+con los que cualquier equipo de desarrollo debe estar familiarizado.
+
+#### Modelo de madurez de Seguridad de Software
+
+{ align=right width=250 }
+
+El modelo de madurez de Aseguramiento de Software ([SAMM][samm]) proporciona contexto para el alcance
+de la seguridad del software y los fundamentos de las buenas prácticas de seguridad:
+
+* [Gobernanza][sammg]
+* [Diseño][sammd]
+* [Implementación][sammi]
+* [Verificación][sammv]
+* [Operaciones][sammo]
+
+El modelo SAMM describe estos fundamentos de seguridad de software como funciones comerciales,
+que a su vez se dividen en Prácticas Comerciales.
+El Modelo de Madurez de Aseguramiento de Software de OWASP ([SAMM][samm]) se utiliza en esta Guía del Desarrollador;
+la mayoría de las secciones de la Guía del desarrollador hacen referencia a al menos una de las funciones
+o prácticas comerciales de SAMM.
+
+#### Tríada CIA
+
+La seguridad consiste simplemente en controlar quién puede interactuar con la información,
+qué pueden hacer con ella y cuándo pueden interactuar con ella.
+Estas características de seguridad se pueden describir utilizando la tríada CIA.
+
+CIA significa Confidencialidad, Integridad y Disponibilidad y generalmente se representa como un triángulo
+que representa los fuertes vínculos entre sus tres principios.
+Esta tríada se considera los pilares de la seguridad de las aplicaciones, a menudo, la confidencialidad, la integridad
+o la disponibilidad se utilizan como propiedades de los datos o procesos dentro de un sistema determinado.
+La tríada de la CIA se puede ampliar con la tríada AAA: Autorización, Autenticación y Auditoría.
+
+#### Confidencialidad
+
+La confidencialidad es la protección de los datos contra la divulgación no autorizada;
+se trata de garantizar que sólo aquellos con la autorización correcta puedan acceder a los datos
+y se aplica tanto a los datos en reposo como a los datos en tránsito.
+La confidencialidad también está relacionada con el concepto más amplio de privacidad de datos.
+
+#### Integridad
+
+La integridad consiste en proteger los datos contra modificaciones no autorizadas
+o garantizar la confiabilidad de los datos.
+El concepto contiene la noción de integridad de los datos (los datos no han sido modificados accidental
+o deliberadamente) y la noción de integridad de la fuente (los datos provienen de una fuente legítima
+o fueron modificados por ella).
+
+#### Disponibilidad
+
+La disponibilidad consiste en garantizar la presencia de información o recursos.
+Este concepto se basa no sólo en la disponibilidad de los datos en sí,
+por ejemplo mediante el uso de replicación de datos,
+sino también sobre la protección de los servicios que proporcionan acceso a los datos,
+por ejemplo mediante el uso del equilibrio de carga.
+
+#### Tríada AAA
+
+La tríada de la CIA a menudo se amplía con Autenticación, Autorización y Auditoría,
+ya que están estrechamente vinculadas a los conceptos de la CIA.
+La CIA tiene una fuerte dependencia de la autenticación y la autorización;
+la confidencialidad y la integridad de los datos sensibles no pueden garantizarse sin ellos.
+Se agrega la auditoría, ya que puede proporcionar el mecanismo para garantizar pruebas de cualquier interacción
+con el sistema.
+
+#### Autenticación
+
+La [autenticación][csauthn] consiste en confirmar la identidad de la entidad que desea interactuar con un sistema seguro.
+Por ejemplo, la entidad podría ser un cliente automatizado o un actor humano;
+en cualquier caso, se requiere autenticación para una aplicación segura.
+
+#### Autorización
+
+La [autorización][csauthz] consiste en especificar derechos de acceso a recursos seguros
+(datos, servicios, archivos, aplicaciones, etc.).
+Estos derechos describen los privilegios o niveles de acceso relacionados con los recursos que se están protegiendo.
+La autorización suele ir precedida de una autenticación exitosa.
+
+#### Auditoría
+
+La auditoría consiste en realizar un seguimiento de los eventos a nivel de implementación,
+así como de los eventos a nivel de dominio que tienen lugar en un sistema.
+Esto ayuda a proporcionar no repudio, lo que significa que los cambios o acciones en el sistema protegido son innegables.
+La auditoría puede proporcionar no sólo información técnica sobre el sistema en ejecución,
+pero también prueba de que se han realizado acciones particulares.
+Las preguntas típicas que se responden mediante la auditoría son "¿Quién hizo Qué, Cuándo y potencialmente Cómo?"
+
+#### Vulnerabilidades
+
+NIST define una [vulnerabilidad][nistvuln] como 'Debilidad en un sistema de información,
+procedimientos de seguridad del sistema, controles internos o implementación que podría ser explotada
+o activada por una fuente de amenaza.'
+
+Hay muchas debilidades o errores en toda aplicación grande, pero el término vulnerabilidad generalmente está reservado.
+para aquellas debilidades o errores en los que existe el riesgo de que un actor de amenazas pueda explotarlos utilizando
+un vector de amenazas.
+
+Las vulnerabilidades de seguridad más conocidas son:
+
+* [Clickjacking][csclick]
+* [Credential Stuffing][cscreds]
+* [Fugas Cross-site][csxsleaks]
+* Ataques de [Denegación de Servicio][csdos] (DoS)
+* Ataques basado en DOM [ataques XSS][csdom] incluido [destrucción de DOM][csdomclub]
+* [IDOR][csidor] (Referencia directa a objetos inseguros)
+* [Inyección][csinjection] incluyendo [Inyección de comando OS][csosinjection] y [XXE][csxxe]
+* [Ataques de inyección][csldap] específico de LDAP
+* [Contaminación de prototipo][csproto]
+* Ataques [SSRF][csssrf]
+* [Inyección SQL][cssql] y el uso de [parametrización de consultas][csquery]
+* [Redirecciones y reenvíos no validados][csredirect]
+* [Ataques XSS][csxss] y [evasión de filtro XSS][csxssevade]
+
+#### HTTP y HTML
+
+Aunque no son un elemento fundamental de seguridad como tal, las aplicaciones web dependen de comunicaciones HTTP y HTML.
+Tanto los desarrolladores de aplicaciones como los ingenieros de seguridad deben tener un buen conocimiento de HTTP
+y del lenguaje HTML junto con sus diversos controles de seguridad.
+
+La mayoría de los equipos de desarrollo de aplicaciones estarán familiarizados con las comunicaciones HTTP
+y el estándar HTML, pero si es necesario consulte la formación del [Consorcio W3][w3consortium]
+o de las [Escuelas W3][w3schools].
+La [serie de hojas de referencia][cheatsheets] de OWASP proporciona a los desarrolladores de aplicaciones web
+la información necesario para producir software seguro:
+
+* La hoja de referencia [Seguridad HTML5][cshtml5] describe una amplia gama de controles,
+ alineado con el actual [Estándar de vida HTML][htmlliving]
+* Consulte la hoja de referencia para CSS [Seguridad de Hojas de estilo en cascada][cscss]
+* Los encabezados HTTP deben ser seguros; consulte la hoja de referencia [HTTP Security Response Headers][csheaders]
+* Considere seriamente [Seguridad estricta de transporte HTTP][csstrict]
+* Si la aplicación tiene una función de carga de archivos, siga la hoja de referencia de [Carga de archivos][csfile]
+* Asegúrese de que la política de seguridad de contenido esté implementada con la hoja de referencia
+ [Política de seguridad de contenido][cscsp]
+* ¿Utiliza JWT para una aplicación Java? Consulte la hoja de referencia de [JSON Web Token][csjwt]
+* ¿Almacenar o enviar objetos? Consulte la hoja de referencia [Deserialización][csserial]
+
+#### Referencias
+
+* [WHATWG][whatwg] [Estándar de vida HTML][htmlliving]
+* [Serie de Hojas de referencia][cheatsheets] de OWASP
+* [Modelo de Madurez de Aseguramiento de Software][samm] de OWASP(SAMM)
+
+----
+
+Traducción de versión [original en inglés][en0401].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0401] o [edítelo en GitHub][edit0401].
+
+[cheatsheets]: https://cheatsheetseries.owasp.org/
+[csclick]: https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet
+[cscreds]: https://cheatsheetseries.owasp.org/cheatsheets/Credential_Stuffing_Prevention_Cheat_Sheet
+[cscsp]: https://cheatsheetseries.owasp.org/cheatsheets/Content_Security_Policy_Cheat_Sheet
+[cscss]: https://cheatsheetseries.owasp.org/cheatsheets/Securing_Cascading_Style_Sheets_Cheat_Sheet
+[csdom]: https://cheatsheetseries.owasp.org/cheatsheets/DOM_based_XSS_Prevention_Cheat_Sheet
+[csdomclub]: https://cheatsheetseries.owasp.org/cheatsheets/DOM_Clobbering_Prevention_Cheat_Sheet
+[csdos]: https://cheatsheetseries.owasp.org/cheatsheets/Denial_of_Service_Cheat_Sheet
+[csidor]: https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet
+[csinjection]: https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet
+[csosinjection]: https://cheatsheetseries.owasp.org/cheatsheets/OS_Command_Injection_Defense_Cheat_Sheet
+[csldap]: https://cheatsheetseries.owasp.org/cheatsheets/LDAP_Injection_Prevention_Cheat_Sheet
+[csproto]: https://cheatsheetseries.owasp.org/cheatsheets/Prototype_Pollution_Prevention_Cheat_Sheet
+[csauthn]: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet
+[csauthz]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet
+[csfile]: https://cheatsheetseries.owasp.org/cheatsheets/File_Upload_Cheat_Sheet
+[csheaders]: https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Headers_Cheat_Sheet
+[cshtml5]: https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet
+[csjwt]: https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet
+[csredirect]: https://cheatsheetseries.owasp.org/cheatsheets/Unvalidated_Redirects_and_Forwards_Cheat_Sheet
+[csserial]: https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet
+[cssql]: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet
+[csquery]: https://cheatsheetseries.owasp.org/cheatsheets/Query_Parameterization_Cheat_Sheet
+[csssrf]: https://cheatsheetseries.owasp.org/cheatsheets/Server_Side_Request_Forgery_Prevention_Cheat_Sheet
+[csstrict]: https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Strict_Transport_Security_Cheat_Sheet
+[csxss]: https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet
+[csxsleaks]: https://cheatsheetseries.owasp.org/cheatsheets/XS_Leaks_Cheat_Sheet
+[csxssevade]: https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet
+[csxxe]: https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet
+[edit0401]: https://github.com/OWASP/DevGuide/blob/main/docs/es/02-foundations/01-security-fundamentals.md
+[htmlliving]: https://html.spec.whatwg.org/multipage/
+[en0401]: https://devguide.owasp.org/en/02-foundations/01-security-fundamentals/
+[issue0401]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/01-security-fundamentals
+[nistvuln]: https://csrc.nist.gov/glossary/term/vulnerability
+[samm]: https://owaspsamm.org/about/
+[sammd]: https://owaspsamm.org/model/design/
+[sammg]: https://owaspsamm.org/model/governance/
+[sammi]: https://owaspsamm.org/model/implementation/
+[sammo]: https://owaspsamm.org/model/operations/
+[sammv]: https://owaspsamm.org/model/verification/
+[w3consortium]: https://www.w3.org/
+[w3schools]: https://www.w3schools.com/html/
+[whatwg]: https://whatwg.org/
diff --git a/docs/es/02-foundations/02-secure-development.md b/docs/es/02-foundations/02-secure-development.md
new file mode 100644
index 00000000..db758af8
--- /dev/null
+++ b/docs/es/02-foundations/02-secure-development.md
@@ -0,0 +1,234 @@
+El desarrollo seguro se describe en las funciones de negocio de [Diseño][sammd], [Implementación][sammi]
+y [Verificación][sammv] del Modelo de Madurez de Aseguramiento de Software
+de OWASP [(SAMM-Software Assurance Maturity Model)][samm].
+
+#### Introducción
+
+La mejor introducción al desarrollo práctico de software seguro es el artículo de OWASP
+sobre [Fragmentación de la Seguridad de Aplicaciones][sdlc]:
+
+_O cómo me preocupé menos y me apoyé en los hombros de gigantes._ - Spyros Gasteratos, Elie Saad
+
+Gran parte del material de esta sección fue extraído del proyecto [Estándares de Integración][intstand] de OWASP.
+
+#### Descripción general
+
+Casi todo el software moderno se desarrolla de manera iterativa, pasando por diferentes fases,
+como la identificación de requisitos del cliente, implementación y testeo.
+Estas fases se vuelven a aplicar de forma cíclica a lo largo de la vida útil de la aplicación.
+A continuación se muestra un Ciclo de Vida de Desarrollo de Software (SDLC) teórico; en la práctica, puede haber más
+o menos fases según los procesos adoptados por la organización.
+
+{: .image-right }
+
+Con el creciente número y sofisticación de los ataques contra casi todas las aplicaciones o sistemas empresariales,
+la mayoría de las empresas han adoptado un Ciclo de Vida de Desarrollo de Software (SDLC) seguro.
+El SDLC seguro nunca debe ser un ciclo de vida separado del ciclo de vida de desarrollo de software existente,
+sino que debe ser siempre el mismo ciclo de vida de desarrollo que antes,
+pero con acciones de seguridad integradas en cada fase.
+De lo contrario, las acciones de seguridad pueden ser dejadas de lado por equipos de desarrollo ocupados.
+Tenga en cuenta que aunque el SDLC Seguro podría escribirse como 'SSDLC', casi siempre se escribe como 'SDLC'.
+
+DevOps integra y automatiza muchas de las fases del SDLC e implementa canales(pipelines) de Integración Continua (CI)
+y Entrega/Despliegue Continuo (CD) para proporcionar gran parte de la automatización del SDLC.
+
+DevOps y los canales han sido explotados con éxito con graves consecuencias a gran escala, por lo que,
+de manera similar al SDLC, muchas de las acciones de DevOps también han incorporado seguridad.
+DevOps seguro, o DevSecOps, incorpora prácticas de seguridad en las actividades de DevOps
+para protegerse contra ataques y proporcionar al SDLC pruebas de seguridad automatizadas.
+
+Ejemplos de cómo DevSecOps está "incorporando seguridad" son la provisión de
+Pruebas de Seguridad de Aplicaciones Interactivas, Estáticas y Dinámicas (IAST, SAST y DAST)
+y la implementación de seguridad en la cadena de suministro,
+y hay muchas otras actividades de seguridad que se pueden aplicar.
+Consulte la [hoja de Referencia de Seguridad CI/CD][cscicd] para conocer los últimos controles de seguridad de DevSecOps.
+
+#### Ciclo de vida de desarrollo seguro
+
+Refiriéndonos al ciclo de desarrollo de [Wayfinder para Seguridad de Aplicaciones][intstand] de OWASP,
+hay cuatro fases iterativas durante el desarrollo de la aplicación:
+Requerimientos, Diseño, Implementación y Verificación.
+Las otras fases se realizan de manera menos iterativa en el ciclo de desarrollo,
+pero forman una parte igualmente importante del SDLC:
+Análisis de Brechas, Métricas, Operación y también Formación y Construcción de Cultura.
+
+Todas estas fases del SDLC deberían tener actividades de seguridad integradas,
+en lugar de realizarse como actividades separadas.
+Si la seguridad se integra en estas fases, la sobrecarga se vuelve mucho menor
+y la resistencia de los equipos de desarrollo disminuye.
+El objetivo es que el SDLC seguro se convierta en un proceso tan familiar como antes,
+con los equipos de desarrollo asumiendo plena responsabilidad de las actividades de seguridad dentro de cada fase.
+
+Hay muchas herramientas y recursos de OWASP para ayudar a integrar la seguridad en el SDLC.
+
+* **Requerimientos**: esta fase determina los requisitos funcionales, no funcionales y de seguridad para la aplicación.
+Los requerimientos deben revisarse periódicamente y verificarse su completitud y validez,
+y vale la pena considerar varias herramientas de OWASP para ayudar con esto;
+ * el [Estándar de Verificación de Seguridad de Aplicaciones (ASVS)][asvs] proporciona a los desarrolladores
+ una lista de requisitos para el desarrollo seguro,
+ * el [proyecto de Seguridad de Aplicaciones Móviles][masproject] proporciona un estándar de seguridad
+ para aplicaciones móviles y [SecurityRAT][srat] ayuda a identificar un conjunto inicial de requisitos de seguridad.
+
+* **Diseño**: es importante diseñar la seguridad en la aplicación - nunca es demasiado tarde para hacerlo,
+pero cuanto antes mejor y más fácil de hacer. OWASP proporciona dos herramientas,
+[Modelado de Amenazas Pythónico][pytm] y [Threat Dragon][tdtm],
+para el modelado de amenazas junto con la gamificación de seguridad usando [Cornucopia][cornucopia].
+
+* **Implementación**: el proyecto [Top 10 Controles Proactivos][proactive10] de OWASP afirma que estos son
+"los controles y categorías de control más importantes que todo arquitecto y desarrollador debería incluir sin duda,
+al 100% en cada proyecto" y éste ciertamente es un buen consejo.
+Implementar estos controles puede proporcionar un alto grado de confianza en que la aplicación
+o sistema será razonablemente seguro.
+OWASP proporciona dos bibliotecas que se pueden incorporar en aplicaciones web, la librería de control de seguridad
+[API de Seguridad Empresarial (ESAPI)][esapi-project]
+y [CSRFGuard][csrfguard] para mitigar el riesgo de ataques de [Falsificación de Solicitudes entre Sitios][cscsrf] (CSRF),
+que ayudan a implementar estos controles proactivos.
+Además, la [serie de Hojas de Referencia][csproject] de OWASP es una valiosa fuente de información
+y consejos sobre todos los aspectos de la seguridad de las aplicaciones.
+
+* **Verificación**: OWASP proporciona un número relativamente grande de proyectos que ayudan con las pruebas
+y la verificación. Este es el tema de una sección en esta Guía del Desarrollador,
+y los proyectos están enumerados al final de esta sección.
+
+* **Formación**: los equipos de desarrollo necesitan continuamente formación en seguridad.
+Aunque no forma parte del ciclo iterativo interno del SDLC, la formación todavía debe considerarse en el ciclo de vida
+del proyecto. OWASP proporciona muchos entornos y materiales de formación - vea la lista al final de esta sección.
+
+* **Desarrollo de Cultura**: una buena cultura de seguridad dentro de una organización empresarial
+ayudará enormemente a mantener seguras las aplicaciones y los sistemas.
+Hay muchas actividades que en conjunto ayudan a crear la cultura de seguridad,
+el proyecto [Cultura de Seguridad][culture] de OWASP entra en más detalle sobre estas actividades,
+y un buen programa de Campeones de Seguridad dentro del negocio es fundamental para una buena postura de seguridad.
+La [Guía de Defensores de Seguridad][champions] de OWASP proporciona orientación y material para crear defensores de
+seguridad dentro de los equipos de desarrollo - idealmente cada equipo debería tener un defensor de seguridad
+que tenga un interés especial en la seguridad y haya recibido formación adicional,
+permitiendo al equipo integrar la seguridad.
+
+* **Operaciones**: la [Guía de DevSecOps][devsecops] de OWASP explica cómo implementar mejor un canal(pipeline) seguro,
+utilizando mejores prácticas y herramientas de automatización para ayudar a reducir tiempo
+y costos al resolver los problemas de seguridad ya en etapas tempranas del proyecto(principio shift-left).
+Consulte la Guía de DevSecOps para obtener más información sobre cualquiera de los temas dentro de DevSecOps
+y en particular las secciones sobre Operaciones.
+
+* **Cadena de suministro**: los ataques que aprovechan la cadena de suministro pueden ser devastadores
+y ha habido varios casos de alto perfil de productos que han sido explotados con éxito.
+Una Lista de Materiales de Software (SBOM-Software Bill of Materials) es el primer paso para evitar estos ataques
+y vale la pena utilizar el estándar [CycloneDX][cyclone] de OWASP para la Lista de Materiales (BOM-Bill of Materials)
+estándar para la [reducción de riesgos en la cadena de suministro][cschain].
+Además, el proyecto [Dependency-Track][deptrack] de OWASP es una Plataforma de Análisis Continuo de SBOM
+que puede ayudar a prevenir estas explotaciones de la cadena de suministro proporcionando control del SBOM.
+
+* **Dependencias de terceros**: mantener un seguimiento de qué bibliotecas de terceros se incluyen en la aplicación,
+y qué vulnerabilidades tienen, es fácilmente automatizable. Muchos repositorios públicos como [github][github]
+y [gitlab][gitlab] ofrecen este servicio junto con algunos proveedores comerciales.
+OWASP proporciona la herramienta de Análisis de Composición de Software (SCA-Software Composition Analysis)
+[Dependency-Check][depcheck] para rastrear bibliotecas externas.
+
+* **Pruebas de seguridad de aplicaciones**: hay varios tipos de pruebas de seguridad que se pueden automatizar
+en solicitudes de admisión de código (pull-requests), fusiones(merges)
+o compilaciones nocturnas, o incluso manualmente, pero son más poderosas cuando se automatizan.
+Comúnmente hay Pruebas de Seguridad de Aplicaciones Estáticas
+(SAST-Static Application Security Testing), que analizan el código sin ejecutarlo,
+y Pruebas de Seguridad de Aplicaciones Dinámicas (DAST-Dynamic Application Security Testing),
+que aplican entrada a la aplicación mientras se ejecuta en un sandbox u otros tipos de entornos aislados.
+Las Pruebas de Seguridad de Aplicaciones Interactivas (IAST-Interactive Application Security Testing)
+están diseñadas para ejecutarse manualmente así como automatizadas,
+y proporcionan retroalimentación instantánea sobre las pruebas mientras se ejecutan.
+
+#### Lecturas adicionales de OWASP
+
+* [Serie de Hojas de Referencia][csproject]
+* [Hoja de Referencia de Seguridad CI/CD][cscicd]
+* [Cornucopia][cornucopia]
+* Estándar de Lista de Materiales (BOM) [CycloneDX][cyclone]
+* [Guía de DevSecOps][devsecops]
+* [Guía de Defensores de Seguridad][champions]
+* [Proyecto de Cultura de Seguridad][culture]
+* [Top 10 Controles Proactivos][proactive10]
+
+#### Proyectos de verificación de OWASP
+
+* [Estándar de Verificación de Seguridad de Aplicaciones][asvs] (ASVS)
+* [Proyecto Amass][amass]
+* [Code Pulse][pulse]
+* [Defect Dojo][defectdojo]
+* [Seguridad de Aplicaciones Móviles][masproject] (MAS)
+* [Nettacker][net]
+* [Framework de Pruebas Web Ofensivas][owtf] (OWTF)
+* [Guía de Pruebas de Seguridad Web][wstg] (WSTG)
+* [Zed Attack Proxy][zap] (ZAP)
+
+#### Proyectos de formación de OWASP
+
+* [Proyecto de Seguridad API][apisec] (API Top 10)
+* [Juice Shop][juice]
+* [Mobile Top 10][mobile10]
+* [Security Shepherd][sec-shep]
+* [Snakes And Ladders][snakes]
+* [Top 10 de Riesgos de Seguridad en Aplicaciones Web][top10]
+* [WebGoat][webgoat]
+
+#### Recursos de OWASP
+
+* [Librería CSRFGuard][csrfguard]
+* [Análisis de Composición de Software (SCA) Dependency-Check][depcheck]
+* [Plataforma de Análisis Continuo de SBOM Dependency-Track][deptrack]
+* [API de Seguridad Empresarial][esapi-project] (ESAPI)
+* [Proyecto de Estándares de Integración Wayfinder de Seguridad de Aplicaciones][intstand]
+* [Seguridad de Aplicaciones Móviles][mas] (MAS)
+* [Modelado de Amenazas Pythónico][pytm]
+* [Threat Dragon][tdtm]
+* [SecurityRAT][srat] (Herramienta de Automatización de Requisitos)
+
+----
+
+Traducción de versión [original en inglés][en0402].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0402] o [edítelo en GitHub][edit0402].
+
+[amass]: https://owasp.org/www-project-amass/
+[apisec]: https://owasp.org/API-Security
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[champions]: https://owasp.org/www-project-security-champions-guidebook/
+[cscicd]: https://cheatsheetseries.owasp.org/cheatsheets/CI_CD_Security_Cheat_Sheet
+[cornucopia]: https://owasp.org/www-project-cornucopia/
+[cschain]: https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet
+[cscsrf]: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet
+[csproject]: https://owasp.org/www-project-cheat-sheets/
+[csrfguard]: https://owasp.org/www-project-csrfguard/
+[culture]: https://owasp.org/www-project-security-culture/
+[cyclone]: https://owasp.org/www-project-cyclonedx/
+[depcheck]: https://owasp.org/www-project-dependency-check/
+[deptrack]: https://dependencytrack.org/
+[devsecops]: https://owasp.org/www-project-devsecops-guideline/
+[defectdojo]: https://www.defectdojo.org/
+[edit0402]: https://github.com/OWASP/DevGuide/blob/main/docs/es/02-foundations/02-secure-development.md
+[esapi-project]: https://owasp.org/www-project-enterprise-security-api/
+[github]: https://github.com/
+[gitlab]: https://about.gitlab.com/
+[en0402]: https://devguide.owasp.org/en/02-foundations/02-secure-development/
+[issue0402]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/02-secure-development
+[juice]: https://owasp.org/www-project-juice-shop/
+[mas]: https://mas.owasp.org/
+[masproject]: https://owasp.org/www-project-mobile-app-security/
+[mobile10]: https://owasp.org/www-project-mobile-top-10/
+[net]: https://owasp.org/www-project-nettacker/
+[owtf]: https://owasp.org/www-project-owtf/
+[proactive10]: https://owasp.org/www-project-proactive-controls/
+[pulse]: https://owasp.org/www-project-code-pulse/
+[pytm]: https://owasp.org/www-project-pytm/
+[samm]: https://owaspsamm.org/about/
+[sammd]: https://owaspsamm.org/model/design/
+[sammi]: https://owaspsamm.org/model/implementation/
+[sammv]: https://owaspsamm.org/model/verification/
+[sdlc]: https://owasp.org/www-project-integration-standards/writeups/owasp_in_sdlc/
+[sec-shep]: https://owasp.org/www-project-security-shepherd/
+[snakes]: https://owasp.org/www-project-snakes-and-ladders/
+[srat]: https://owasp.org/www-project-securityrat/
+[tdtm]: https://owasp.org/www-project-threat-dragon/
+[top10]: https://owasp.org/Top10/
+[intstand]: https://owasp.org/www-project-integration-standards/
+[webgoat]: https://owasp.org/www-project-webgoat/
+[wstg]: https://owasp.org/www-project-web-security-testing-guide/
+[zap]: https://www.zaproxy.org/
diff --git a/docs/es/02-foundations/03-security-principles.md b/docs/es/02-foundations/03-security-principles.md
new file mode 100644
index 00000000..4d2fb8d1
--- /dev/null
+++ b/docs/es/02-foundations/03-security-principles.md
@@ -0,0 +1,214 @@
+Esta sección es una introducción muy breve a algunos conceptos utilizados en el dominio de la seguridad del software,
+ya que estos pueden no ser familiares para muchos desarrolladores de aplicaciones.
+La [serie de Hojas de Referencia][csproject] de OWASP proporciona explicaciones más detalladas
+de estos principios de seguridad, vea las lecturas adicionales al final de esta sección.
+
+#### Descripción general
+
+Hay varios conceptos y términos utilizados en el dominio de la seguridad que son fundamentales para la comprensión
+y discusión de la seguridad de aplicaciones.
+Los arquitectos de seguridad y los ingenieros de seguridad estarán familiarizados con estos términos,
+y los equipos de desarrollo también necesitarán esta comprensión para implementar aplicaciones seguras.
+
+#### Seguridad por Diseño
+
+La seguridad no debería ser una ocurrencia de último minuto o un complemento. Al desarrollar sistemas,
+se debe comenzar identificando los requisitos de seguridad relevantes y tratarlos como una parte integral
+del proceso general y del diseño del sistema.
+Comience estableciendo y adoptando principios y políticas relevantes como base para su diseño,
+luego integre la seguridad en su ciclo de vida de desarrollo.
+Tenga también en cuenta que el sistema que está construyendo también necesitará mantenimiento
+y que los operadores del sistema necesitarán gestionarlo de manera segura e incluso apagarlo y eliminarlo.
+Por lo tanto, comprométase con operaciones seguras desarrollando principios
+y prácticas de "gestión operativa"[^1] seguras.
+
+#### Seguridad por Defecto
+
+Seguro por defecto significa que la configuración predeterminada es la más segura posible.
+Esta no es necesariamente la configuración más fácil de usar. Evalúe cuáles deberían ser las configuraciones,
+basándose tanto en el análisis de riesgos como en pruebas de usabilidad.
+Como resultado, el significado preciso depende solamente de su decisión.
+Sin embargo, configure el sistema para proporcionar solo la funcionalidad mínima
+y para prohibir y/o restringir específicamente el uso de todas las demás funciones, puertos, protocolos y/o servicios.
+También configure los valores predeterminados para que sean lo más restrictivos posible,
+de acuerdo con las mejores prácticas, sin comprometer la "Aceptabilidad psicológica"
+y la "Usabilidad y Manejabilidad" del sistema.
+
+#### Sin garantía de seguridad
+
+Uno de los principios más importantes de la seguridad del software es que ninguna aplicación o sistema
+está 100% garantizado de ser seguro contra todos los ataques.
+Esto puede parecer un punto de partida inusualmente pesimista, pero simplemente reconoce el mundo real;
+dado suficiente tiempo y recursos, cualquier sistema puede ser puesto en peligro.
+El objetivo de la seguridad del software no es '100% seguro', sino hacer que sea lo suficientemente difícil
+y las recompensas lo suficientemente pequeñas para que los actores malintencionados desistan
+y busquen en otro lugar sistemas para explotar.
+
+#### Defensa en Profundidad
+
+También conocida como defensa por capas, la [defensa en profundidad][did] es un principio de seguridad
+donde la defensa contra ataques se proporciona mediante múltiples controles de seguridad.
+El objetivo es que se eliminen o mitiguen los puntos únicos de compromiso completo mediante la incorporación de
+una serie o múltiples capas de salvaguardas de seguridad y contramedidas de mitigación de riesgos.
+
+Si una capa de defensa resulta inadecuada, entonces, si se implementan estrategias defensivas diversas,
+otra capa de defensa puede prevenir una vulneración completa y si esa es eludida,
+la siguiente capa puede bloquear la explotación.
+
+#### Fallar de Forma Segura
+
+Este es un principio de seguridad que tiene como objetivo mantener la confidencialidad, integridad y disponibilidad
+cuando se detecta una condición de error. Estas condiciones de error pueden ser resultado de un ataque,
+o pueden deberse a fallas de diseño o implementación; en cualquier caso,
+el sistema/aplicaciones debe predeterminar un estado seguro en lugar de un estado inseguro.
+
+Por ejemplo, a menos que se le dé acceso explícito a un objeto a una entidad,
+se le debe negar el acceso a ese objeto por defecto.
+Esto a menudo se describe como 'Valores Predeterminados a Prueba de Fallos' o 'Seguro por Defecto'.
+
+En el contexto de la seguridad del software, el término 'fallo seguro' se usa comúnmente de manera intercambiable
+con fallo a prueba de errores, que proviene de la terminología de seguridad física.
+Fallar de forma segura también ayuda a la resiliencia del software en el sentido de que el sistema/aplicación
+puede recuperarse rápidamente ante defectos de diseño o implementación.
+
+#### Mínimo Privilegio
+
+Un principio de seguridad en el que a una persona o proceso se le otorga solo
+el nivel mínimo de derechos de acceso (privilegios) que sea necesario para que esa persona
+o proceso complete una operación asignada.
+Este derecho debe otorgarse solo por la cantidad mínima de tiempo necesaria para completar la operación.
+
+Esto ayuda a limitar el daño cuando un sistema es comprometido al minimizar la capacidad de un atacante
+para escalar privilegios tanto lateral como verticalmente.
+Para aplicar este [principio de mínimo privilegio][elp],
+se debe establecer una granularidad adecuada de privilegios y permisos.
+
+#### Compartimentar
+
+El principio de mínimo privilegio funciona mejor si los derechos de acceso no son un modelo de acceso "todo o nada".
+En su lugar, compartimente el acceso a la información en base a la "necesidad de conocer" para realizar ciertas tareas.
+El principio de compartimentación ayuda a minimizar el impacto de una brecha de seguridad en caso de
+un intento de violación exitoso, pero debe usarse con moderación para evitar que el sistema se vuelva inmanejable.
+Por lo tanto, siga también el principio de "Economía de Mecanismo".
+
+#### Separación de Deberes
+
+También conocida como [separación de privilegios][sop], la separación de deberes es un principio de seguridad
+que requiere que la finalización exitosa de una sola tarea dependa de dos o más condiciones que son insuficientes,
+individualmente por sí mismas, para completar la tarea.
+
+Hay muchas aplicaciones para este principio, por ejemplo, limitar el daño que un empleado molesto
+o malintencionado puede hacer, o limitando la escalación de privilegios.
+
+#### Economía de Mecanismo
+
+También conocido como 'mantenlo simple', si hay múltiples implementaciones,
+se debe elegir la implementación más simple y fácil de entender.
+
+La probabilidad de vulnerabilidades aumenta con la complejidad del diseño arquitectónico del software y el código,
+y aumenta aún más si es difícil seguir o revisar el código.
+La superficie de ataque del software se reduce manteniendo el diseño del software
+y los detalles de implementación simples y comprensibles.
+
+#### Mediación Completa
+
+Un principio de seguridad que asegura que la autoridad no sea eludida en solicitudes consecutivas de un objeto
+por un sujeto, verificando la autorización (derechos y privilegios) en cada solicitud del objeto.
+
+En otras palabras, las solicitudes de acceso de un sujeto para un objeto son completamente mediadas cada vez,
+de modo que todos los accesos a los objetos deben ser verificados para asegurar que están permitidos.
+
+#### Diseño Abierto
+
+El principio de seguridad de diseño abierto establece que los detalles de implementación del diseño deben ser
+independientes del diseño en sí,
+permitiendo que el diseño permanezca abierto mientras que la implementación puede mantenerse en secreto.
+Esto contrasta con la seguridad por oscuridad, donde la seguridad del software depende de la oscuridad del diseño en sí.
+
+Cuando la arquitectura del software utiliza el concepto de diseño abierto,
+la revisión del diseño en sí no resultará en perjuicio de los medios de defensa del software.
+
+#### Mecanismo menos Común
+
+El principio de seguridad de los mecanismos menos comunes prohíbe compartir mecanismos que son comunes
+a más de un usuario o proceso si los usuarios o procesos están en diferentes niveles de privilegio.
+Esto es importante cuando se defiende contra la escalación de privilegios.
+
+#### Aceptabilidad Psicológica
+
+Un principio de seguridad que tiene como objetivo maximizar el uso y la adopción de la funcionalidad de seguridad
+en el software asegurando que la funcionalidad de seguridad sea fácil de usar
+y al mismo tiempo transparente para el usuario.
+La facilidad de uso y la transparencia son requisitos esenciales para que este principio de seguridad sea efectivo.
+
+Los controles de seguridad no deberían hacer que el recurso sea significativamente más difícil de acceder
+que si el control de seguridad no estuviera presente.
+Si un control de seguridad proporciona demasiada fricción para los usuarios,
+entonces pueden buscar formas de eliminar el control y "mantener las puertas abiertas".
+
+#### Usabilidad y Gestionabilidad
+
+Es un principio relacionado con la aceptabilidad psicológica,
+pero va más allá de la mera aceptabilidad psicológica percibida para incluir también el diseño,
+implementación y operación de los controles de seguridad.
+La configuración, administración e integración de los componentes de seguridad
+no debe ser excesivamente compleja u oscura.
+Por lo tanto, utilice siempre estándares abiertos para la portabilidad e interoperabilidad,
+use un lenguaje común en el desarrollo de requisitos de seguridad,
+diseñe la seguridad para permitir la adopción regular de nueva tecnología,
+asegure que exista un proceso de actualización seguro y lógico, automatice las actividades de gestión de seguridad
+y esfuércese por proporcionar la facilidad de uso operativa.
+
+#### Asegurar el Eslabón más Débil
+
+Este principio de seguridad establece que la resiliencia de su software contra intentos de hackers dependerá
+en gran medida de la protección de sus componentes más débiles, ya sea el código, el servicio o una interfaz.
+Por lo tanto, identificar el componente más débil y abordar el riesgo más grave primero,
+hasta alcanzar un nivel aceptable de riesgo, se considera una buena práctica de seguridad.
+
+#### Aprovechamiento de Componentes Existentes
+
+Este es un principio de seguridad que se enfoca en asegurar que la superficie de ataque no aumente
+y que no se introduzcan nuevas vulnerabilidades mediante el fomento de la reutilización de
+componentes de software existentes, código y funcionalidad.
+
+Es más probable que los componentes existentes hayan sido probados y testeados, y por lo tanto sean más seguros,
+y también deberían tener parches de seguridad disponibles.
+Además, los componentes desarrollados dentro de la comunidad de código abierto tienen el beneficio adicional
+de 'muchos ojos' y por lo tanto es probable que sean aún más seguros.
+
+#### Referencias
+
+* Serie de Hojas de Referencia de OWASP
+ * [Hoja de Referencia de Autenticación][csauthn]
+ * [Hoja de Referencia de Autorización][csauthz]
+ * [Hoja de Referencia de Diseño de Producto Seguro][spdcs]
+* Top 10 Controles Proactivos de OWASP
+ * [C5: Configuraciones Seguras por Defecto](https://top10proactive.owasp.org/the-top-10/c5-secure-by-default/)
+* Otros
+ * [Compartmentalization (information security)](https://en.wikipedia.org/wiki/Compartmentalization_(information_security)),
+(Wikipedia)
+ * [Funcionalidad Mínima](https://csf.tools/reference/nist-sp-800-53/r5/cm/cm-7/), (NIST)
+ * [Seguridad por Diseño](https://pubs.opengroup.org/security/o-esa/#_Toc291061712), (Open Group)
+ * [Usabilidad y Manejabilidad](https://pubs.opengroup.org/security/o-esa/#_Toc291061714), (Open Group)
+
+----
+
+Traducción de versión [original en inglés][en0403].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0403] o [edítelo en GitHub][edit0403].
+
+[^1]: [Gestión Operativa](https://owaspsamm.org/model/operations/operational-management/), (SAMM)
+
+[csauthn]: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet
+[csauthz]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet
+[csproject]: https://owasp.org/www-project-cheat-sheets/
+[did]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html#2-the-principle-of-defense-in-depth
+[edit0403]: https://github.com/OWASP/DevGuide/blob/main/docs/es/02-foundations/03-security-principles.md
+[elp]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet.html#enforce-least-privileges
+[en0403]: https://devguide.owasp.org/en/02-foundations/03-security-principles/
+[issue0403]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/03-security-principles
+
+[sop]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html#1-the-principle-of-least-privilege-and-separation-of-duties
+[spdcs]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet
diff --git a/docs/es/02-foundations/04-crypto-principles.md b/docs/es/02-foundations/04-crypto-principles.md
new file mode 100644
index 00000000..7c6713a1
--- /dev/null
+++ b/docs/es/02-foundations/04-crypto-principles.md
@@ -0,0 +1,279 @@
+La criptografía es fundamental para la Confidencialidad e Integridad de las aplicaciones y sistemas.
+La serie de [Hojas de Referencia][csproject] de OWASP describe el uso de la criptografía y algunas de ellas están
+listadas en la lectura adicional al final de esta sección.
+
+#### Descripción general
+
+Esta sección proporciona una breve introducción a la criptografía (a menudo simplemente referida como "crypto")
+y los términos utilizados.
+La criptografía es un tema amplio y puede volverse muy matemático,
+pero afortunadamente para la mayoría de los equipos de desarrollo,
+una comprensión general de los conceptos es suficiente.
+Esta comprensión general, con la guía de arquitectos de seguridad, debería permitir la implementación
+de criptografía por parte del equipo de desarrollo para la aplicación o sistema.
+
+#### Usos de la criptografía
+
+Aunque la criptografía estaba inicialmente restringida principalmente al ámbito militar y académico,
+se ha vuelto omnipresente en la seguridad de las aplicaciones de software.
+Los usos cotidianos comunes de la criptografía incluyen teléfonos móviles, contraseñas,
+VPNs SSL, tarjetas inteligentes y DVDs.
+La criptografía ha invadido la vida cotidiana y es muy utilizada por muchas aplicaciones web.
+
+La criptografía es uno de los temas más avanzados de la seguridad de la información,
+y uno cuya comprensión requiere más formación y experiencia.
+Es difícil de implementar correctamente porque hay muchos enfoques para la encriptación,
+cada uno con ventajas y desventajas que deben ser entendidas a fondo por los arquitectos de soluciones.
+
+La implementación correcta y precisa de la criptografía es extremadamente crítica para su eficacia.
+Un pequeño error en la configuración o codificación resultará en la eliminación de la mayoría de la protección
+y hará que la implementación criptográfica sea inútil.
+
+Se requiere una buena comprensión de la criptografía para poder discernir entre productos sólidos y soluciones engañosas.
+La complejidad inherente de la criptografía hace que sea fácil caer en afirmaciones fantásticas
+de los proveedores sobre su producto.
+Típicamente, estas son "un avance en criptografía" o "irrompible" o proporcionan seguridad "de grado militar".
+Si un proveedor dice "confíe en nosotros, hemos tenido expertos que lo han revisado", ¡es probable que no fueran expertos!
+
+#### Confidencialidad
+
+Para los propósitos de esta sección, la confidencialidad se define como
+"ninguna divulgación no autorizada de información".
+La criptografía aborda esto mediante la encriptación de los datos en reposo o datos en tránsito,
+ocultando la información a todos aquellos que no posean la clave de descifrado.
+Los hashes criptográficos (hashes seguros, unidireccionales) previenen la divulgación de contraseñas.
+
+#### Autenticación
+
+La [Autenticación][csauthn] es el proceso de verificar una afirmación de que un sujeto es quien dice ser
+a través de alguna evidencia corroborativa proporcionada.
+La criptografía es primordial para la autenticación:
+
+1. para proteger la evidencia corroborativa proporcionada (por ejemplo,
+ el hash de contraseñas para su posterior almacenamiento)
+2. en protocolos de autenticación que a menudo usan criptografía para autenticar entidades directamente
+ o para intercambiar credenciales de manera segura
+3. para verificar la identidad de una o ambas partes en el intercambio de mensajes,
+ por ejemplo, la verificación de identidad dentro de la [Seguridad de la Capa de Transporte][tls] (TLS)
+
+OpenID Connect es ampliamente utilizado como una capa de identidad sobre el protocolo OAuth 2.0,
+ver la HOja d Referencia del [Protocolo OAuth 2.0][csoauth].
+
+#### Integridad
+
+La integridad asegura que incluso los usuarios autorizados no hayan realizado alteraciones accidentales
+o maliciosas de la información.
+La criptografía puede usarse para prevenir la manipulación mediante Códigos de Autenticación de Mensajes (MACs)
+o firmas digitales.
+
+El término 'autenticidad del mensaje' se refiere a asegurar la integridad de la información,
+a menudo usando encriptación simétrica y claves compartidas,
+pero no autentica a la parte que envía.
+
+El término 'encriptación autenticada' también asegura la integridad de la información,
+y, si se usa encriptación asimétrica, puede autenticar al remitente.
+
+#### No repudio
+
+El no repudio del remitente asegura que alguien que envía un mensaje no debería poder negar posteriormente
+que lo ha enviado.
+El no repudio del receptor significa que el receptor de un mensaje no debería poder negar que lo ha recibido.
+La criptografía puede usarse para proporcionar no repudio al proporcionar mensajes
+o respuestas a mensajes que no se pueden falsificar.
+
+El no repudio es útil para intercambios financieros, de comercio electrónico y contractuales.
+Se puede lograr haciendo que el remitente o destinatario firme digitalmente algún registro transaccional único.
+
+#### Atestación
+
+La atestación es el acto de "dar testimonio" o certificar algo para un uso o propósito particular.
+La atestación generalmente se discute en el contexto de un Módulo de Plataforma Confiable (TPM),
+Gestión de Derechos Digitales (DRM) y Arranque Seguro UEFI.
+
+Por ejemplo, la Gestión de Derechos Digitales está interesada en atestiguar que su dispositivo
+o sistema no ha sido comprometido con alguna puerta trasera para permitir
+que alguien copie ilegalmente contenido protegido por DRM.
+
+La criptografía puede usarse para proporcionar una cadena de evidencia de que todo está como se espera que esté,
+para probar a un contrincante que todo está de acuerdo con las expectativas del contrincante.
+Por ejemplo, la atestación remota puede usarse para probar a un contrincante que
+realmente está ejecutando el software que afirma estar ejecutando.
+La mayoría de las veces la atestación se realiza proporcionando una cadena de firmas digitales comenzando con
+un cargador de arranque confiable (firmado digitalmente).
+
+#### Hashes criptográficos
+
+Los hashes criptográficos, también conocidos como resúmenes de mensaje,
+son funciones que mapean cadenas de bits de longitud arbitraria
+a una cadena de bits de longitud fija conocida como 'valor hash' o 'valor de resumen'.
+Estas funciones hash son mapeos de muchos a uno que son funciones de compresión.
+
+Las funciones hash criptográficas se utilizan para proporcionar integridad de datos (es decir,
+para detectar la manipulación intencional de datos),
+para almacenar contraseñas o frases de paso, y para proporcionar firmas digitales de manera más eficiente
+que usando cifrados asimétricos.
+Las funciones hash criptográficas también se utilizan para extender un pequeño bit de entropía
+para que se puedan construir generadores de números aleatorios seguros.
+
+Cuando se utilizan para proporcionar integridad de datos,
+las funciones criptográficas proporcionan dos tipos de integridad:
+hashes con clave, a menudo llamados 'códigos de autenticación de mensaje',
+y hashes sin clave llamados 'códigos de integridad de mensaje'.
+
+#### Cifrados
+
+Un cifrado es un algoritmo que realiza encriptación o desencriptación.
+Los cifrados modernos se pueden categorizar de varias maneras diferentes.
+Las distinciones más comunes entre ellos son:
+
+* Si trabajan en un número fijo de bits (cifrados de bloque) o en un flujo continuo de bits (cifrados de flujo)
+* Si se usa la misma clave para encriptación y desencriptación (cifrados simétricos)
+ o claves separadas para encriptación y desencriptación (cifrados asimétricos)
+
+#### Cifrados Simétricos
+
+Los cifrados simétricos encriptan y desencriptan usando la misma clave.
+Esto implica que si una parte encripta datos que una segunda parte debe desencriptar,
+esas dos partes deben compartir una clave común.
+
+Los cifrados simétricos vienen en dos tipos principales:
+
+1. Cifrados de bloque, que operan en un bloque de caracteres (típicamente 8 o 16 octetos) a la vez.
+ Un ejemplo de cifrado de bloque es AES
+2. Cifrados de flujo, que operan en un solo bit (u ocasionalmente un solo byte) a la vez.
+ Ejemplos de cifrados de flujo son RC4 (también conocido como ARC4) y Salsa20
+
+Tenga en cuenta que todos los cifrados de bloque también pueden operar en 'modo de transmisión'
+seleccionando el modo de cifrado apropiado.
+
+#### Modos de Cifrado
+
+Los cifrados de bloque pueden funcionar en diferentes modos de operación conocidos como "modos de cifrado".
+Este modo de cifrado describe algorítmicamente cómo un cifrado opera para aplicar repetidamente
+su mecanismo de encriptación o desencriptación a un bloque de cifrado determinado.
+Los modos de cifrado son importantes porque tienen un impacto enorme tanto en la confidencialidad
+como en la autenticidad del mensaje de los mensajes de texto cifrado resultantes.
+
+Casi todas las bibliotecas criptográficas admiten los cuatro modos de cifrado originales de DES:
+ECB, CBC (Encadenamiento de Bloques de Cifrado)
+OFB (Retroalimentación de Salida) y CFB (Retroalimentación de Cifrado). Muchas también admiten el modo CTR (Contador).
+
+#### Vector de inicialización
+
+Un vector de inicialización criptográfico (IV) es una entrada de tamaño fijo a la primitiva de encriptación /
+desencriptación de un cifrado de bloque.
+Se recomienda (y en muchos casos, se requiere) que el IV sea aleatorio o al menos pseudo-aleatorio.
+
+#### Relleno
+
+Excepto cuando operan en modo de transmisión, los cifrados de bloque generalmente operan en bloques de tamaño fijo.
+Estos cifrados de bloque también deben operar en mensajes de cualquier tamaño,
+no solo aquellos que son un múltiplo sin residuo del tamaño del bloque del cifrado,
+por lo que el mensaje puede ser rellenado para ajustarse al siguiente bloque de tamaño fijo.
+
+#### Cifrados asimétricos
+
+Los cifrados asimétricos encriptan y desencriptan con dos claves diferentes.
+Una clave generalmente se designa como la clave privada y la otra se designa como la clave pública.
+Generalmente, la clave pública se comparte ampliamente y la clave privada se mantiene segura.
+
+Los cifrados asimétricos son más lentos que los cifrados simétricos en varios órdenes de magnitud.
+Por esta razón, se utilizan frecuentemente en criptosistemas híbridos, que combinan cifrados asimétricos y simétricos.
+En tales criptosistemas híbridos, se genera una clave de sesión simétrica aleatoria
+que solo se utiliza durante la duración de la comunicación encriptada.
+Esta clave de sesión aleatoria luego se encripta usando un cifrado asimétrico y la clave privada del destinatario.
+Los datos de texto plano en sí se encriptan con la clave de sesión.
+Luego, todo el paquete (clave de sesión encriptada y mensaje encriptado) se envía junto.
+Tanto [TLS][tls] como S/MIME son criptosistemas comunes que utilizan criptografía híbrida.
+
+#### Firma digital
+
+Las firmas digitales son una cadena de datos criptográficamente única que se utiliza
+para garantizar la integridad de los datos y probar la autenticidad de algún mensaje digital,
+y que asocia algún mensaje de entrada con una entidad originadora.
+Un algoritmo de generación de firma digital es un algoritmo criptográficamente fuerte que se utiliza
+para generar una firma digital.
+
+#### Protocolo de acuerdo de claves
+
+Los protocolos de acuerdo de claves son protocolos mediante los cuales N partes (generalmente dos)
+pueden acordar una clave común sin intercambiar realmente la clave.
+Cuando se diseñan e implementan correctamente, los protocolos de acuerdo de claves evitan que los adversarios
+aprendan la clave o fuercen su propia elección de clave a las partes participantes.
+
+#### Encriptación a nivel de aplicación
+
+La encriptación a nivel de aplicación se refiere a la encriptación que se considera parte de la aplicación misma;
+no implica nada sobre dónde en el código de la aplicación se realiza realmente la encriptación.
+
+#### Derivación de claves
+
+Una función de derivación de claves (KDF) es un algoritmo determinista para
+derivar una clave de un tamaño dado a partir de algún valor secreto.
+Si dos partes usan el mismo valor secreto compartido y el mismo KDF, siempre deberían derivar exactamente la misma clave.
+
+#### Envoltura de claves
+
+La envoltura de claves es una construcción utilizada con cifrados simétricos para proteger material
+de claves criptográficas encriptándolo de una manera especial.
+Los algoritmos de envoltura de claves están destinados a proteger las claves mientras se mantienen
+en almacenamiento no confiable o mientras se transmiten claves a través de redes de comunicación no seguras.
+
+#### Algoritmos de intercambio de claves
+
+Los algoritmos de intercambio de claves (también conocidos como algoritmos de establecimiento de claves) son protocolos
+que se utilizan para intercambiar claves criptográficas secretas
+entre un remitente y un receptor de una manera que cumple con ciertas restricciones de seguridad.
+Los algoritmos de intercambio de claves intentan abordar el problema de compartir de manera segura
+una clave secreta común entre dos partes a través de un canal de comunicación inseguro de manera
+que ninguna otra parte pueda obtener acceso a una copia de la clave secreta.
+
+El algoritmo de intercambio de claves más conocido es el Intercambio de Claves Diffie-Hellman.
+También existen algoritmos de intercambio de claves autenticados por contraseña.
+El intercambio de claves RSA usando PKI o redes de confianza o servidores de claves confiables también se usa comúnmente.
+
+#### Protocolos de transporte de claves
+
+Los protocolos de Transporte de claves son donde una parte genera la clave
+y la envía de manera segura al(los) destinatario(s).
+
+#### Protocolos de acuerdo de claves
+
+Los protocolos de Acuerdo de claves son protocolos mediante los cuales N partes (normalmente dos)
+pueden acordar una clave común con todas las partes contribuyendo al valor de la clave.
+Estos protocolos evitan que los adversarios aprendan la clave
+o fuercen su propia elección de clave a las partes participantes.
+
+Referencias
+
+* Serie de Hojas de Referencia de OWASP
+
+ * [Autenticación][csauthn]
+ * [Autorización][csauthz]
+ * [Almacenamiento Criptográfico][cscs]
+ * [Gestión de Claves][kmcs]
+ * [Protocolo OAuth 2.0][csoauth]
+ * [Seguridad SAML][sscs]
+ * [Diseño de Producto Seguro][spdcs]
+ * [Protección de Privacidad del Usuario][uppcs]
+
+----
+
+Traducción de versión [original en inglés][en0404].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0404] o [edítelo en GitHub][edit0404].
+
+[csauthn]: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet
+[csauthz]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet
+[csoauth]: https://cheatsheetseries.owasp.org/cheatsheets/OAuth2_Cheat_Sheet
+[csproject]: https://owasp.org/www-project-cheat-sheets/
+[cscs]: https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet
+[kmcs]: https://cheatsheetseries.owasp.org/cheatsheets/Key_Management_Cheat_Sheet
+[edit0404]: https://github.com/OWASP/DevGuide/blob/main/docs/es/02-foundations/04-crypto-principles.md
+[en0404]: https://devguide.owasp.org/en/02-foundations/04-crypto-principles/
+[issue0404]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/04-crypto-principles
+[sscs]: https://cheatsheetseries.owasp.org/cheatsheets/SAML_Security_Cheat_Sheet
+[spdcs]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet
+[tls]: https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Security_Cheat_Sheet
+[uppcs]: https://cheatsheetseries.owasp.org/cheatsheets/User_Privacy_Protection_Cheat_Sheet
diff --git a/docs/es/02-foundations/05-top-ten.md b/docs/es/02-foundations/05-top-ten.md
new file mode 100644
index 00000000..b79dca66
--- /dev/null
+++ b/docs/es/02-foundations/05-top-ten.md
@@ -0,0 +1,230 @@
+{ align=right width=180 }
+
+El OWASP Top Ten es una lista muy conocida de riesgos de seguridad en aplicaciones web,
+y está incluida en el Modelo de Madurez de Aseguramiento de Software de OWASP [(SAMM)][samm]
+en la práctica de Educación y Orientación dentro de la función empresarial de Gobernanza.
+
+#### Descripción General
+
+El proyecto OWASP [Top 10 de Riesgos de Seguridad en Aplicaciones Web][top10project]
+es probablemente el concepto de seguridad más conocido dentro de la comunidad de seguridad,
+logrando una amplia aceptación y fama poco después de su lanzamiento en 2003.
+Generalmente conocido simplemente como el 'OWASP Top Ten', es una lista que identifica las amenazas más importantes
+para las aplicaciones web y busca clasificarlas según su importancia y gravedad.
+
+La lista ha cambiado con el tiempo, con algunos tipos de amenazas convirtiéndose en un problema mayor
+para las aplicaciones web y otras amenazas convirtiéndose en un riesgo menor a medida que las tecnologías cambian.
+La [última versión][top10] fue publicada en 2021 y cada categoría se resume a continuación.
+
+Tenga en cuenta que existen varios proyectos 'OWASP Top Ten', por ejemplo,
+el 'OWASP Top 10 para Aplicaciones de Modelos Extensos de Lenguaje',
+por lo que para evitar confusiones se debe tener en cuenta el contexto al referirse a estas listas.
+
+#### A01:2021 Pérdida de Control de Acceso
+
+El control de acceso involucra el uso de mecanismos de protección que pueden categorizarse como:
+
+* Autenticación (evidenciar la identidad de un actor)
+* Autorización (asegurar que un actor dado tenga acceso a un recurso)
+* Responsabilidad (seguimiento de las actividades realizadas)
+
+La Pérdida de Control de Acceso ocurre cuando el producto no restringe, o restringe incorrectamente,
+el acceso a un recurso por parte de un actor no autorizado o malicioso. Cuando un control de seguridad falla
+o no se aplica, los atacantes pueden comprometer la seguridad del producto obteniendo privilegios,
+leyendo información sensible, ejecutando comandos, evadiendo la detección, etc.
+
+La Pérdida de Control de Acceso puede tomar muchas formas, como la navegación por directorios
+o la elevación de privilegios, por lo cual consulte tanto la [Enumeración de Debilidades Comunes CWE-284][cwe284]
+como [A01 Pérdida de Control de Acceso][a01] y también siga las diversas
+[Hojas de Referencia de OWASP][a01cs] relacionadas con los controles de acceso.
+
+#### A02:2021 Fallos Criptográficos
+
+Refiriéndose a [OWASP Top 10 A02:2021][a02], los datos sensibles deben protegerse tanto en reposo como en tránsito.
+Los fallos criptográficos ocurren cuando el control de seguridad criptográfico ha sido vulnerado o no se aplica,
+y los datos quedan expuestos a actores no autorizados, maliciosos o no.
+
+Es importante proteger los datos tanto en reposo, cuando están almacenados en un área de memoria,
+como cuando están en tránsito, como cuando se transmiten a través de un canal de comunicación o se están transformando.
+Un buen ejemplo de protección de transformación de datos se da en [A02 Fallos Criptográficos][a02]
+donde los datos sensibles están correctamente cifrados en una base de datos,
+pero la función de exportación descifra automáticamente los datos, llevando a la exposición de datos sensibles.
+
+Los fallos criptográficos pueden tomar muchas formas y pueden ser sutiles - un control de seguridad que
+parece seguro puede ser fácilmente vulnerado.
+Siga las [Hojas de Referencia][a02cs] de criptografía para implementar los controles criptográficos básicos
+y considere establecer una auditoría criptográfica.
+
+#### A03:2021 Inyección
+
+La falta de validación y sanitización de entrada puede llevar a operaciones de inyección,
+y este riesgo ha sido una característica constante del OWASP Top Ten desde que se publicó la primera versión en 2003.
+Estas vulnerabilidades ocurren cuando se utilizan directamente datos hostiles dentro de la aplicación
+y pueden resultar en que datos maliciosos se utilicen para modificar la aplicación; consulte [A03 Inyección][a03]
+para más explicaciones.
+
+El control de seguridad es directo: todas las entradas de fuentes no confiables deben ser sanitizadas y validadas.
+Consulte las [Hojas de Referencia de Inyección][a03cs] para los diversos tipos de entrada y sus controles.
+
+#### A04:2021 Diseño Inseguro
+
+Es importante que la seguridad se incorpore en las aplicaciones desde el principio
+y no se aplique como una ocurrencia tardía.
+La categoría [A04 Diseño Inseguro][a04] reconoce esto y aconseja que el uso del modelado de amenazas,
+patrones de diseño seguro y arquitecturas de referencia debe incorporarse dentro de las actividades de diseño
+y arquitectura de la aplicación.
+
+En la práctica, esto implica establecer un ciclo de vida de desarrollo seguro que fomente
+la identificación de requisitos de seguridad, el uso habitual del modelado de amenazas y la inclusión de bibliotecas
+y marcos seguros existentes.
+Esta categoría se introdujo en la versión 2021 y por ahora las hojas de referencia de soporte solo cubren
+el [modelado de amenazas][cstm]; a medida que esta categoría se establezca más,
+se espera que más información de soporte esté disponible.
+
+#### A05:2021 Configuración Incorrecta de Seguridad
+
+Los sistemas y aplicaciones grandes suelen ser configurables,
+y esta configuración a menudo se utiliza para asegurar el sistema/aplicación.
+Si esta configuración se aplica incorrectamente, la aplicación puede dejar de ser segura y,
+en su lugar, ser susceptible a vulneraciones bien conocidas.
+La página [A05 Configuración Incorrecta de Seguridad][a05] contiene un ejemplo común de configuración incorrecta
+donde las cuentas predeterminadas y sus contraseñas siguen habilitadas y sin cambios.
+Estas contraseñas y cuentas suelen ser bien conocidas y proporcionan una manera fácil
+para que los actores maliciosos pongan en peligro las aplicaciones.
+
+Tanto el [OWASP Top 10 A05:2021][a05] como las [Hojas de Referencias de OWASP][a05cs] vinculadas proporcionan estrategias
+para establecer un proceso concertado y repetible de configuración de seguridad de aplicaciones
+para minimizar la configuración incorrecta.
+
+#### A06:2021 Componentes Vulnerables y Desactualizados
+
+Quizás una de las actividades de seguridad más fáciles y efectivas es mantener actualizadas
+todas las dependencias de software de terceros.
+Si un actor malicioso identifica una dependencia vulnerable durante la fase de reconocimiento de un ataque,
+hay bases de datos disponibles, como [Exploit Database][exploit], que proporcionarán una descripción de cualquier exploit.
+Estas bases de datos también pueden proporcionar scripts y técnicas ya preparados
+para atacar una vulnerabilidad dada, facilitando la explotación de dependencias de software de terceros vulnerables.
+
+El riesgo [A06 Componentes Vulnerables y Desactualizados][a06] subraya la importancia de esta actividad
+y recomienda que las correcciones y actualizaciones de la plataforma subyacente,
+marcos y dependencias se basen en una evaluación de riesgos y se realicen de manera "oportuna".
+Se pueden usar varias herramientas para analizar dependencias y marcar vulnerabilidades,
+consulte las [Hojas de Referencias][a06cs] para estas.
+
+#### A07:2021 Fallos de Identificación y Autenticación
+
+La confirmación de la identidad del usuario, la autenticación y la gestión de sesiones es crítica
+para proteger el sistema o aplicación contra ataques relacionados con la autenticación.
+Refiriéndose al riesgo [A07 Fallos de Identificación y Autenticación][a07],
+la autorización puede fallar de varias maneras que a menudo involucran otros riesgos del OWASP Top Ten:
+
+* controles de acceso vulnerados (A01)
+* fallo criptográfico (A02)
+* contraseñas predeterminadas (A05)
+* bibliotecas desactualizadas (A06)
+
+Consulte las [Hojas de Referencia][a07cs] para las varias buenas prácticas que se necesitan para una autorización segura.
+También hay proveedores externos de Gestión de Identidad y Acceso (IAM) que proporcionarán esto como servicio,
+considere el costo/beneficio de usar estos proveedores (a menudo comerciales).
+
+#### A08:2021 Fallos de Integridad de Software y Datos
+
+Los fallos de integridad de software y datos se relacionan con código e infraestructura
+que no protege contra violaciones de integridad.
+Esta es una categoría de amplio alcance que describe [ataques a la cadena de suministro][cschain],
+actualizaciones automáticas comprometidas y uso de componentes no confiables,por ejemplo.
+[A08 Fallos de Integridad de Software y Datos][a08] fue una nueva categoría introducida en 2021,
+por lo que hay poca información disponible en las [Hojas de Referencia][a08cs],
+pero esto seguramente cambiará para una amenaza tan importante.
+
+#### A09:2021 Fallos en el Registro y Monitoreo de Seguridad
+
+El registro y monitoreo ayuda a detectar, escalar y responder a infracciones activas;
+sin éste, las infracciones no serán detectadas.
+[A09 Fallos en el Registro y Monitoreo de Seguridad][a09] enumera varias técnicas de registro
+y monitoreo que deberían ser familiares, pero también otras que pueden no ser tan comunes;
+por ejemplo, monitorear la cadena de suministro de DevOps puede ser tan importante como monitorear la aplicación o sistema.
+Las [Hojas de referencia][a09cs] proporcionan orientación sobre registro suficiente
+y también proporcionan un vocabulario común de registro.
+El objetivo de este vocabulario común es proporcionar un registro que utilice un conjunto común de términos,
+formatos y palabras clave; y esto permite facilitar el monitoreo, análisis y las alertas.
+
+#### A10:2021 Falsificación de Solicitud del Lado del Servidor
+
+Refiriéndose a [A10 Falsificación de Solicitudes del Lado del Servidor (SSRF)][a10],
+estas vulnerabilidades pueden ocurrir cuando una aplicación web está recuperando un recurso remoto
+sin validar la URL proporcionada por el usuario.
+Estos exploits permiten a un atacante forzar a la aplicación a enviar una solicitud manipulada a un destino inesperado,
+incluso cuando está protegido por un firewall, VPN u otro tipo de lista de control de acceso a la red.
+Recuperar una URL se ha convertido en un escenario común para las aplicaciones web modernas
+y como resultado la incidencia de SSRF está aumentando, especialmente para [servicios en la nube][cscloud]
+y arquitecturas de aplicaciones más complejas.
+
+Esta es una nueva categoría introducida en 2021 con una única (por ahora)
+[Hoja de Referencia][a10cs] que trata acerca de SSRF.
+
+#### Proyectos Top 10 de OWASP
+
+Hay varios proyectos 'Top 10' creados por OWASP que, dependiendo del contexto,
+también pueden ser referidos como 'Top 10 de OWASP'.
+Aquí hay una lista de los proyectos 'Top 10 de OWASP' estables:
+
+* [Top 10 de Seguridad de API][apisec]
+* [Top 10 de Seguridad de Datos][data10]
+* [Top 10 sin código o Low-Code/No-Code][lcnc10]
+* [Top 10 Móvil][mobile10]
+* [Top 10 sin Servidor o Serverless][serverless10]
+* [Top 10 de Riesgos de Seguridad CI/CD][cicd10]
+* [Top 10 para Aplicaciones de Modelos Extensos de Lenguaje][llm10]
+* [Top 10 de Riesgos de Privacidad][privacy10]
+* [Top 10 de Controles Proactivos][proactive10]
+* [Top 10 de Riesgos de Seguridad en Aplicaciones Web][top10]
+
+Otros Top 10 de OWASP son proyectos 'incubadora', que están en progreso, por lo que esta lista cambiará con el tiempo.
+
+----
+
+Traducción de versión [original en inglés][en0405].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0405] o [edítelo en GitHub][edit0405].
+
+[a01]: https://owasp.org/Top10/A01_2021-Broken_Access_Control/
+[a01cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a012021-broken-access-control
+[a02]: https://owasp.org/Top10/A02_2021-Cryptographic_Failures/
+[a02cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a022021-cryptographic-failures
+[a03]: https://owasp.org/Top10/A03_2021-Injection/
+[a03cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a032021-injection
+[a04]: https://owasp.org/Top10/A04_2021-Insecure_Design/
+[a05]: https://owasp.org/Top10/A05_2021-Security_Misconfiguration/
+[a05cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a052021-security-misconfiguration
+[a06]: https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/
+[a06cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a062021-vulnerable-and-outdated-components
+[a07]: https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/
+[a07cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a072021-identification-and-authentication-failures
+[a08]: https://owasp.org/Top10/A08_2021-Software_and_Data_Integrity_Failures/
+[a08cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a082021-software-and-data-integrity-failures
+[a09]: https://owasp.org/Top10/A09_2021-Security_Logging_and_Monitoring_Failures/
+[a09cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a092021-security-logging-and-monitoring-failures
+[a10]: https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/
+[a10cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a102021-server-side-request-forgery-ssrf
+[apisec]: https://owasp.org/API-Security
+[cicd10]: https://owasp.org/www-project-top-10-ci-cd-security-risks/
+[cschain]: https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet
+[cscloud]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Cloud_Architecture_Cheat_Sheet
+[cstm]: https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet
+[cwe284]: https://cwe.mitre.org/data/definitions/284.html
+[data10]: https://owasp.org/www-project-data-security-top-10/
+[edit0405]: https://github.com/OWASP/DevGuide/blob/main/docs/es/02-foundations/05-top-ten.md
+[exploit]: https://www.exploit-db.com/
+[en0405]: https://devguide.owasp.org/en/02-foundations/05-top-ten/
+[issue0405]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/05-top-ten
+[lcnc10]: https://owasp.org/www-project-top-10-low-code-no-code-security-risks/
+[mobile10]: https://owasp.org/www-project-mobile-top-10/
+[privacy10]: https://owasp.org/www-project-top-10-privacy-risks/
+[proactive10]: https://owasp.org/www-project-proactive-controls/
+[samm]: https://owaspsamm.org/about/
+[serverless10]: https://owasp.org/www-project-serverless-top-10/
+[top10project]: https://owasp.org/www-project-top-ten/
+[top10]: https://owasp.org/Top10/
+[llm10]: https://owasp.org/www-project-top-10-for-large-language-model-applications/
diff --git a/docs/es/02-foundations/index.md b/docs/es/02-foundations/index.md
new file mode 100644
index 00000000..2b83254f
--- /dev/null
+++ b/docs/es/02-foundations/index.md
@@ -0,0 +1,24 @@
+{ align=right width=180 }
+
+Existen varios conceptos y terminología fundamentales que se utilizan comúnmente en la seguridad del software.
+
+Aunque muchos de estos conceptos son complejos de implementar y se basan en una teoría muy estricta,
+los principios suelen ser bastante sencillos y accesibles para todos los ingenieros de software.
+
+Una comprensión razonable de estos conceptos fundamentales permite a los equipos de desarrollo entender e implementar
+Seguridad de software para la aplicación o sistema en desarrollo.
+Esta Guía del Desarrollador solo puede brindar una breve descripción general de estos conceptos.
+para lograr un conocimiento más profundo, consulte los numerosos textos sobre seguridad,
+como [El conjunto de conocimientos sobre seguridad cibernética (The Cyber Security Body Of Knowledge)][cbok].
+
+----
+
+Traducción de versión [original en inglés][en0400].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0400] o [edítelo en GitHub][edit0400].
+
+[cbok]: https://www.cybok.org/
+[edit0400]: https://github.com/OWASP/DevGuide/blob/main/docs/es/02-foundations/index.md
+[en0400]: https://devguide.owasp.org/en/02-foundations/
+[issue0400]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/index
diff --git a/docs/es/03-requirements/01-requirements.md b/docs/es/03-requirements/01-requirements.md
new file mode 100644
index 00000000..f2de0b79
--- /dev/null
+++ b/docs/es/03-requirements/01-requirements.md
@@ -0,0 +1,116 @@
+Esta sección trata sobre los Requisitos de Seguridad, que es una práctica de seguridad
+en la sección de función empresarial de Diseño del Modelo de Madurez de Garantía de Software de OWASP ([SAMM][samm]).
+Esta práctica de requisitos de seguridad tiene dos actividades: Requisitos de Software y Seguridad de Proveedores,
+siendo los requisitos regulatorios y estatutarios un subconjunto importante de ambas actividades.
+
+#### Descripción general
+
+Los requisitos de seguridad son parte de cada proceso de desarrollo seguro
+y forman la base de la postura de seguridad de la aplicación.
+Los requisitos ayudarán sin duda en la prevención de muchos tipos de vulnerabilidades.
+
+Los requisitos provienen de diversas fuentes, siendo tres las más comunes:
+
+1. Requisitos relacionados con el software que especifican objetivos y expectativas
+ para proteger el servicio y los datos en el núcleo de la aplicación
+2. Requisitos relativos a organizaciones proveedoras que son parte del contexto de desarrollo de la aplicación
+3. Requisitos regulatorios y reglamentarios
+
+Idealmente, los requisitos de seguridad se integran al inicio del desarrollo,
+pero no hay un mal momento para considerar estos requisitos de seguridad y añadir nuevos cuando sea necesario.
+
+#### Requisitos de software
+
+Definir requisitos de seguridad puede ser desalentador a veces,
+por ejemplo, pueden hacer referencia a técnicas criptográficas que pueden aplicarse incorrectamente,
+pero es completamente aceptable expresar estos requisitos en lenguaje cotidiano.
+Por ejemplo, un requisito de seguridad podría escribirse como "Identificar al usuario de la aplicación en todo momento"
+y esto es ciertamente suficiente para requerir que la autenticación se incluya en el diseño.
+
+La práctica de [Requisitos de Seguridad][sammdsr] de SAMM enumera los niveles de madurez
+de los requisitos de seguridad de software
+que especifican objetivos y expectativas.
+Elija el nivel apropiado para la organización y el equipo de desarrollo,
+con la comprensión de que cualquiera de estos niveles es completamente aceptable.
+
+Los niveles de madurez de los requisitos de seguridad de software son:
+
+1. Los objetivos de seguridad de la aplicación de alto nivel son mapeados a requisitos funcionales
+2. Requisitos de seguridad estructurados están disponibles y son utilizados por equipos de desarrollo
+3. Construir un marco de requisitos para que los equipos de producto lo utilicen
+
+OWASP proporciona proyectos que pueden ayudar a identificar requisitos de seguridad
+que protegerán el servicio y los datos en el núcleo de la aplicación.
+El [Estándar de Verificación de Seguridad de Aplicaciones][asvs] proporciona una lista de requisitos
+para el desarrollo seguro,
+y puede usarse como punto de partida para los requisitos de seguridad.
+La [Seguridad de Aplicaciones Móviles][mas] proporciona un conjunto similar de requisitos de seguridad estándar
+para aplicaciones móviles.
+
+Considere usar [Casos de Abuso][csabuse] para identificar posibles ataques y los controles necesarios para mitigarlos.
+Esto puede luego formar parte de los requisitos de seguridad de software.
+
+#### Seguridad de proveedores
+
+Los proveedores externos involucrados en el proceso de desarrollo deben ser
+evaluados por sus prácticas de seguridad y cumplimiento.
+Dependiendo de su nivel de participación, estos proveedores pueden tener
+un impacto significativo en la seguridad de la aplicación,
+por lo que será necesario negociar con ellos un conjunto de requisitos de seguridad.
+
+[SAMM][sammdsr] enumera los niveles de madurez para los requisitos de seguridad
+que aclararán las fortalezas y debilidades de sus proveedores.
+Tenga en cuenta que la seguridad de los proveedores es distinta de la seguridad de software
+y bibliotecas de terceros, y se trata el uso de software de terceros y de código abierto
+en su propia sección sobre verificación y seguimiento de dependencias.
+
+Los niveles de madurez de los requisitos de seguridad de proveedores son:
+
+1. Evaluar al proveedor según los requisitos de seguridad organizacionales
+2. Incorporar la seguridad en los acuerdos con proveedores para garantizar
+ el cumplimiento de los requisitos organizacionales
+3. Asegurar una cobertura de seguridad adecuada para proveedores externos proporcionando objetivos claros
+
+#### Requisitos regulatorios y reglamentarios
+
+Los requisitos regulatorios pueden incluir requisitos de seguridad que deben tenerse en cuenta.
+Diferentes industrias están reguladas en mayor o menor medida,
+y el único consejo general es estar consciente de ellos y seguir las regulaciones.
+
+Diferentes jurisdicciones tendrán distintos requisitos reglamentarios que pueden resultar en requisitos de seguridad.
+Cualquier requisito de seguridad reglamentario aplicable debe añadirse a los requisitos de seguridad de la aplicación.
+De manera similar a los requisitos regulatorios,
+el único consejo general es estar familiarizado y seguir los requisitos reglamentarios apropiados.
+
+#### Revisión periódica
+
+Los requisitos de seguridad deben identificarse y registrarse al inicio de cualquier nuevo desarrollo
+y también cuando se añaden nuevas características a una aplicación existente.
+Estos requisitos de seguridad deben revisarse periódicamente y modificarse según sea necesario;
+por ejemplo, los estándares de seguridad se actualizan y entran en vigor nuevas regulaciones,
+ambos pueden tener un impacto directo en la aplicación.
+
+#### Referencias
+
+* Proyectos OWASP:
+ * [Modelo de Madurez de Garantía de Software (SAMM)][samm]
+ * [Top 10 Controles Proactivos][proactive10]
+ * [Estándar de Verificación de Seguridad de Aplicaciones (ASVS)][asvs]
+ * [Seguridad de Aplicaciones Móviles][mas]
+
+----
+
+Traducción de versión [original en inglés][en0501].
+
+La Guía del Desarrollador OWASP es un esfuerzo comunitario; si hay algo que necesite cambios
+entonces [cree un issue][issue0501] o [edítelo en GitHub][edit0501].
+
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[csabuse]: https://cheatsheetseries.owasp.org/cheatsheets/Abuse_Case_Cheat_Sheet
+[edit0501]: https://github.com/OWASP/DevGuide/blob/main/docs/es/03-requirements/01-requirements.md
+[en0501]: https://devguide.owasp.org/en/03-requirements/01-requirements/
+[issue0501]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2003-requirements/01-requirements
+[mas]: https://mas.owasp.org/
+[proactive10]: https://owasp.org/www-project-proactive-controls/
+[samm]: https://owaspsamm.org/about/
+[sammdsr]: https://owaspsamm.org/model/design/security-requirements/
diff --git a/docs/es/03-requirements/02-risk.md b/docs/es/03-requirements/02-risk.md
new file mode 100644
index 00000000..80c20a95
--- /dev/null
+++ b/docs/es/03-requirements/02-risk.md
@@ -0,0 +1,103 @@
+Esta sección aborda el Perfil de Riesgo de la Aplicación,
+una actividad en el Modelo de Madurez de Garantía de Software de OWASP ([SAMM][samm]).
+La actividad de perfil de riesgo es parte de la práctica de Evaluación de Amenazas en la función empresarial de Diseño.
+
+#### Descripción general
+
+La gestión de riesgos es la identificación, evaluación y priorización de riesgos para la aplicación o sistema.
+El objetivo de la gestión de riesgos es garantizar que la incertidumbre no desvíe las actividades de desarrollo
+de los objetivos empresariales.
+
+La remediación es la estrategia elegida en respuesta a un riesgo para el sistema empresarial,
+y estos riesgos se identifican utilizando diversas técnicas como modelado de amenazas
+y análisis de requisitos de seguridad.
+
+La gestión de riesgos puede dividirse en dos fases. Primero, crear un perfil de riesgo para la aplicación
+y luego proporcionar soluciones (remediar) a esos riesgos de la manera que mejor convenga al negocio;
+la gestión de riesgos siempre debe estar orientada por los objetivos el negocio.
+
+#### Perfil de riesgo de la aplicación
+
+El perfil de riesgo de la aplicación se crea para comprender la probabilidad y el impacto de un ataque.
+Con el tiempo, se podrían crear varios perfiles que deberían almacenarse en un inventario de perfiles de riesgo,
+e idealmente, los perfiles de riesgo deberían revisarse como parte de la estrategia
+de desarrollo seguro de la organización.
+
+Cuantificar los riesgos es a menudo difícil y hay muchas formas de abordar esto;
+consulte la lista de lectura a continuación para conocer diversas estrategias
+para crear un modelo de calificación de riesgos.
+La página de OWASP sobre [Metodología de Calificación de Riesgos][rrm] describe
+algunos pasos para identificar y cuantificar riesgos:
+
+1. Identificar un riesgo
+2. Factores para estimar la probabilidad
+3. Factores para estimar el impacto
+4. Determinar la gravedad del riesgo
+5. Decidir qué corregir
+6. Personalizar el modelo de calificación de riesgos
+
+Las actividades involucradas en la creación de un perfil de riesgo dependen mucho de los procesos
+y el nivel de madurez de la organización, lo cual está más allá del alcance de esta
+Guía del Desarrollador, por lo que consulte la lectura adicional que se lista a continuación
+para obtener orientación y ejemplos.
+
+#### Remediación
+
+Los riesgos identificados durante la evaluación de amenazas, por ejemplo,
+a través del perfil de riesgo o mediante modelado de amenazas,
+deben tener soluciones o remedios aplicados.
+
+Hay cuatro formas comunes de manejar el riesgo, a menudo representadas por el acrónimo TAME:
+
+1. Transferir: el riesgo se considera grave pero puede transferirse a otra parte
+
+2. Aceptar: el negocio es consciente del riesgo pero se ha decidido que no se necesita tomar ninguna acción;
+ el nivel de riesgo se considera aceptable
+
+3. Mitigar: el riesgo se considera lo suficientemente grave como para requerir la implementación de controles de seguridad
+ para reducir el riesgo a un nivel aceptable
+
+4. Eliminar / Evitar: el riesgo puede evitarse o eliminarse completamente,
+ a menudo eliminando el objeto asociado con el riesgo
+
+Ejemplos:
+
+1. Transferir: un ejemplo común de transferencia de riesgo es el uso de un seguro de terceros
+ en respuesta al riesgo de RansomWare.
+ Se pagan primas de seguro, pero las pérdidas para el negocio están cubiertas por el seguro
+
+2. Aceptar: a veces un riesgo es lo suficientemente bajo en prioridad, o el resultado tolerable, para no mitigarlo,
+ un ejemplo podría ser cuando se muestra la versión de software y esto es aceptable (o incluso deseable)
+
+3. Mitigar: es común implementar un control de seguridad para mitigar el impacto de un riesgo, por ejemplo,
+ la sanitización de entrada o la codificación de salida pueden usarse para información proporcionada
+ por una fuente no confiable, o el uso de canales de comunicación cifrados para transferir información de alto riesgo
+
+4. Eliminar: un ejemplo puede ser que una aplicación implemente funcionalidad heredada que ya no se usa,
+ si hay un riesgo de que sea explotada, el riesgo puede eliminarse quitando esta funcionalidad heredada
+
+#### Referencias
+
+* [Metodología de Calificación de Riesgos de OWASP][rrm]
+* [NIST 800-30 - Guía para Realizar Evaluaciones de Riesgos][nist]
+* [Metodología Armonizada de Evaluación de Amenazas y Riesgos del Gobierno de Canadá][tra]
+* [Resumen de Evaluación de Riesgos][rrs] de Mozilla y [Evaluación Rápida de Riesgos (RRA)][rra]
+* [Sistema de Puntuación de Vulnerabilidades Comunes (CVSS)][cvss] utilizado para clasificación de severidad y riesgo
+
+----
+
+Traducción de versión [original en inglés][en0502].
+
+La Guía de Desarrollador OWASP es un esfuerzo comunitario; si hay algo que necesite cambios
+entonces [cree un issue][issue0502] o [edítelo en GitHub][edit0502].
+
+[cvss]: https://www.first.org/cvss/
+[edit0502]: https://github.com/OWASP/DevGuide/blob/main/docs/es/03-requirements/02-risk.md
+[en0502]: https://devguide.owasp.org/en/03-requirements/02-risk/
+[issue0502]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2003-requirements/02-risk
+[nist]: https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final
+[rra]: https://infosec.mozilla.org/guidelines/risk/rapid_risk_assessment.html
+[rrm]: https://owasp.org/www-community/OWASP_Risk_Rating_Methodology
+[rrs]: https://infosec.mozilla.org/guidelines/assessing_security_risk
+[samm]: https://owaspsamm.org/about/
+[tra]: https://cyber.gc.ca/en/guidance/harmonized-tra-methodology-tra-1
diff --git a/docs/es/03-requirements/03-opencre.md b/docs/es/03-requirements/03-opencre.md
new file mode 100644
index 00000000..fc8d9e9b
--- /dev/null
+++ b/docs/es/03-requirements/03-opencre.md
@@ -0,0 +1,121 @@
+{ width=300 }
+
+El [Enumeración Común Abierta de Requisitos][opencre] (OpenCRE) es un catálogo de requisitos de seguridad:
+enumerando temas de seguridad y proporcionando enlaces a varios estándares, hojas de referencia y guías.
+
+El proyecto de [Estándares de Integración][intstand] de OWASP incluye tanto OpenCRE como Seguridad
+y el Navegador de Seguridad de Aplicaciones, es un proyecto de documentación de OWASP con estado de producción.
+
+#### ¿Qué es el proyecto de Estándares de Integración?
+
+El proyecto de [Estándares de Integración][intstand] está en el centro de la comunidad de proyectos OWASP;
+proporciona orientación sobre cómo navegar y utilizar los numerosos proyectos dentro de OWASP.
+Lo hace de dos maneras, primero está el [Navegador de Seguridad de Aplicaciones][intstand] que proporciona un mapa visual
+de los proyectos de OWASP más importantes - a agosto de 2024 hay 345 [proyectos OWASP][projects]
+por lo que esta es una visualización realmente útil.
+La segunda es la Enumeración Común Abierta de Requisitos ([OpenCRE][opencre])
+que proporciona una referencia consolidada de
+estándares, hojas de referencias, herramientas y otras enumeraciones (como [CWE][cwe]).
+
+El proyecto de Estándares de Integración también ha producido un informe
+sobre [Fragmentación de Seguridad de Aplicaciones][sdlc] de OWASP
+sobre OWASP y el Ciclo de Vida de Desarrollo de Software (SDLC) seguro.
+Esto proporciona una visión general de herramientas y técnicas utilizadas en la mayoría de los SDLC.
+
+#### ¿Qué es OpenCRE?
+
+[OpenCRE][opencre] es un catálogo o enumeración de varios estándares y material de referencia, incluyendo:
+
+* [CAPEC][capecocre]
+* [CWE][cweocre]
+* [Publicaciones Especiales de NIST][nist] [800-53][nist53] y [800-63][nist63]
+* OWASP [ASVS][asvs]
+* OWASP [Top10][top10ocre]
+* OWASP [Controles Proactivos][proactiveocre]
+* OWASP [Hojas de Referencia][csocre]
+* OWASP [WSTG][wstgocre]
+* [ZAP][zapocre]
+
+El objetivo de este proyecto es 'Vincular todas las cosas con OpenCRE', lo que:
+
+* Facilitará a ingenieros, oficiales de seguridad, evaluadores y departamentos de compras encontrar información relevante
+* Facilitará a los creadores de estándares crear y mantener referencias
+
+#### ¿Por qué usar OpenCRE?
+
+OpenCRE: 'Todo organizado'
+
+[OpenCRE][opencre] es una herramienta poderosa que puede proporcionar a los desarrolladores enlaces a muchos recursos,
+y es fácil de usar.
+Proporciona un conjunto consolidado de referencias sobre varios términos y dominios de seguridad,
+y lo crucial es que se mantienen automáticamente actualizados.
+Proporciona un práctico catálogo de seguridad que se puede buscar para diversos estándares o términos de seguridad.
+
+Además de ser útil para preguntas cotidianas de seguridad,
+OpenCRE también puede usarse como sección de referencias en documentación;
+vincular a OpenCRE en lugar de proporcionar una lista de referencias significa
+que los enlaces se mantienen automáticamente actualizados.
+
+#### Cómo usar OpenCRE
+
+El catálogo de [OpenCRE][opencre] se puede acceder de formas tradicionales como usar búsquedas o vincular directamente.
+Por ejemplo, las referencias de OpenCRE a la Enumeración de Debilidades Comunes pueden accederse
+usando la [función de búsqueda][cweocre]
+o vinculando directamente a un [Requisito Común Abierto específico][cwe1002].
+
+OpenCRE también es útil al proporcionar referencias en documentación.
+OpenCRE puede usarse para estas referencias en lugar de listar varias referencias a un concepto o requisito de seguridad.
+Esto proporcionará enlaces a estándares, hojas de referencia, herramientas y otras enumeraciones -
+junto con otras fuentes que se han agregado con el tiempo - y todo se mantiene actualizado.
+¡Así que no más enlaces rotos o referencias a versiones desactualizadas! :)
+
+Ahora estamos en la era de los modelos extensos de lenguaje, y OpenCRE ha adoptado esta tecnología.
+Respuestas inmediatas a preguntas de seguridad o búsquedas pueden proporcionarse por [OpenCRE Chat][opencrechat].
+
+Por ejemplo, en respuesta a la pregunta "_¿De qué sirve la Guía de Desarrollador de OWASP?_"
+OpenCRE Chat proporciona la siguiente respuesta:
+
+_"La Guía de Desarrollador de OWASP proporciona una visión general completa de los riesgos de seguridad de aplicaciones_
+_y cómo mitigarlos._
+_Cubre temas como validación de entrada, codificación de salida, prácticas de codificación segura_
+_y principios de diseño seguro._
+_La guía es un recurso valioso para desarrolladores que quieren crear aplicaciones seguras."_
+
+#### Referencias
+
+* OWASP [OpenCRE][opencre]
+* [Spotlight sobre OpenCRE][spotlight28]
+* [Fragmentación de Seguridad de Aplicaciones][sdlc] de OWASP
+* Proyecto de [Estándares de Integración][intstand] de OWASP
+* [Comprendiendo la Cadena Completa de Seguridad de Aplicaciones Usando OpenCRE org][opencretalk]
+
+----
+
+Traducción de versión [original en inglés][en0503].
+
+La Guía de Desarrollador OWASP es un esfuerzo comunitario; si hay algo que necesite cambios
+entonces [cree un issue][issue0503] o [edítelo en GitHub][edit0503].
+
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[capecocre]: https://opencre.org/search/CAPEC
+[csocre]: https://opencre.org/search/OWASP%20Cheat%20Sheets
+[cweocre]: https://opencre.org/search/CWE
+[cwe]: https://cwe.mitre.org/
+[cwe1002]: https://www.opencre.org/node/standard/CWE/sectionid/1002
+[edit0503]: https://github.com/OWASP/DevGuide/blob/main/docs/es/03-requirements/03-opencre.md
+[en0503]: https://devguide.owasp.org/en/03-requirements/03-opencre/
+[intstand]: https://owasp.org/www-project-integration-standards/
+[issue0503]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2003-requirements/03-opencre
+[nist]: https://csrc.nist.gov/
+[nist53]: https://www.nist.gov/privacy-framework/nist-privacy-framework-and-cybersecurity-framework-nist-special-publication-800-53
+[nist63]: https://pages.nist.gov/800-63-3/
+[opencre]: https://www.opencre.org/
+[opencrechat]: https://www.opencre.org/chatbot
+[opencretalk]: https://www.youtube.com/watch?v=VPOkT9quve0
+[proactiveocre]: https://www.opencre.org/search/Proactive%20Controls
+[projects]: https://owasp.org/projects/
+[sdlc]: https://owasp.org/www-project-integration-standards/writeups/owasp_in_sdlc/
+[spotlight28]: https://www.youtube.com/watch?v=TwNroVARmB0&list=PLUKo5k_oSrfOTl27gUmk2o-NBKvkTGw0T
+[top10ocre]: https://www.opencre.org/search/OWASP%20Top%2010
+[wstgocre]: https://opencre.org/search/WSTG
+[zapocre]: https://opencre.org/search/ZAP
diff --git a/docs/es/03-requirements/04-security-rat.md b/docs/es/03-requirements/04-security-rat.md
new file mode 100644
index 00000000..14f49727
--- /dev/null
+++ b/docs/es/03-requirements/04-security-rat.md
@@ -0,0 +1,118 @@
+La Herramienta de Automatización de Requisitos[SecurityRAT][srat] de OWASP se utiliza
+para generar y gestionar requisitos de seguridad
+usando información del proyecto [OWASP ASVS][asvs].
+También proporciona un enfoque automatizado para la gestión de requisitos
+durante el desarrollo de aplicaciones frontend, de servidor y móviles.
+
+En la actualidad es un proyecto de Incubadora de OWASP, pero es probable que pronto se actualice al estado de Laboratorio.
+
+#### ¿Qué es SecurityRAT?
+
+SecurityRAT es una herramienta complementaria para el conjunto de requisitos de [ASVS][asvs];
+puede usarse para generar un conjunto inicial de requisitos a partir de ASVS
+y luego hacer un seguimiento del estado y las actualizaciones de estos requisitos.
+Viene con [documentación e instrucciones][sratdocs] sobre cómo instalar y ejecutar SecurityRAT.
+
+Para generar la lista inicial de requisitos, SecurityRAT necesita que se le proporcionen tres atributos definidos por ASVS:
+
+* ID del capítulo del Estándar de Verificación de Seguridad de Aplicaciones - por ejemplo 'V2 - Autenticación'
+* Nivel de Verificación de Seguridad de Aplicaciones - el nivel de cumplimiento, por ejemplo 'L2'
+* Autenticación - si se utiliza autenticación de inicio de sesión único (SSO) o no
+
+SecurityRAT genera entonces una lista inicial de requisitos recomendados.
+Esta lista puede almacenarse en una base de datos de SecurityRAT que permite el seguimiento y actualización
+del conjunto de requisitos.
+SecurityRAT también proporciona integración con JIRA de Atlassian para la creación y seguimiento de problemas de software.
+
+La serie Spotlight de OWASP proporciona una visión general de lo que puede hacer SecurityRAT y cómo usarlo:
+'Proyecto 5 - [OWASP SecurityRAT][spotlight05]'.
+
+#### ¿Por qué usarlo?
+
+En el momento de su redacción, ASVS tiene más de 280 requisitos sugeridos para el desarrollo de software seguro.
+Este número de requisitos lleva tiempo para clasificarlos y determinar si
+son aplicables o no a un proyecto de desarrollo determinado.
+
+El uso de SecurityRAT para crear un subconjunto más manejable de los requisitos de ASVS es un beneficio directo tanto para
+arquitectos de seguridad como para el equipo de desarrollo.
+Además, SecurityRAT permite el seguimiento y actualización de este conjunto de requisitos
+durante todo el ciclo de desarrollo,
+añadiendo seguridad a la aplicación al ayudar a garantizar que se cumplan los requisitos de seguridad.
+
+#### Cómo usar SecurityRAT
+
+Instale las aplicaciones de SecurityRAT de Producción y Desarrollo descargando una versión e instalándola
+en el Kit de Desarrollo Java JDK11.
+Alternativamente, descargue y ejecute la [imagen Docker][sratdocker] desde DockerHub.
+Configure SecurityRAT consultando la [documentación de implementación][sratdeploy]; esto no es muy sencillo,
+por lo que para comenzar hay una [demostración en línea][sratdemo] disponible.
+
+Al iniciar sesión en el sitio de demostración, usando las credenciales de la [página del proyecto][srat],
+se muestra la definición de un conjunto de requisitos o la importación de un conjunto existente.
+Suponiendo que queremos un nuevo conjunto de requisitos, asigne un nombre al artefacto de requisitos y luego
+seleccione secciones/capítulos específicos de ASVS de la lista:
+
+* V1 - Arquitectura, Diseño y Modelado de Amenazas
+* V2 - Autenticación
+* V3 - Gestión de Sesiones
+* V4 - Control de Acceso
+* V5 - Validación, Sanitización y Codificación
+* V6 - Criptografía Almacenada
+* V7 - Manejo de Errores y Registro
+* V8 - Protección de Datos
+* V9 - Comunicación
+* V10 - Código Malicioso
+* V11 - Lógica de Negocio
+* V12 - Archivos y Recursos
+* V13 - API y Servicio Web
+* V14 - Configuración
+
+o déjelo en blanco para incluir todos los requisitos de verificación.
+
+Seleccione el nivel usando los niveles de cumplimiento de seguridad definidos por ASVS:
+
+* Nivel 1 es para niveles de garantía bajos y completamente verificables mediante pruebas de penetración
+* Nivel 2 es para aplicaciones que contienen datos sensibles y es el nivel recomendado para la mayoría de las aplicaciones
+* Nivel 3 es para las aplicaciones más críticas
+
+Finalmente, seleccione si se está utilizando autenticación SSO y genere una lista de requisitos.
+Este artefacto de requisitos se almacena ahora en SecurityRAT y puede recuperarse en sesiones posteriores.
+
+SecurityRAT presenta entonces una pantalla de administración que permite el seguimiento
+y edición de los requisitos de verificación de ASVS.
+Consulte el [Spotlight de OWASP sobre SecurityRAT][spotlight05] para obtener una explicación
+de cómo integrarlo con JIRA de Atlassian.
+
+#### ¿Qué es SecurityCAT?
+
+[SecurityCAT][scat] (Herramienta de Automatización de Cumplimiento) es una extensión
+de SecurityRAT destinada a la prueba automática de requisitos.
+No existe una implementación real de SecurityCAT,
+SecurityRAT proporciona una API que permite crear una herramienta de cumplimiento,
+por lo que este puede ser un desarrollo futuro de SecurityRAT.
+
+#### Referencias
+
+* [SecurityRAT][srat] de OWASP
+* [Documentación][sratdocs] de SecurityRAT de OWASP
+* [SecurityCAT][scat] de OWASP
+* [Estándar de Verificación de Seguridad de Aplicaciones][asvs] (ASVS) de OWASP
+
+----
+
+Traducción de versión [original en inglés][en0504].
+
+La Guía de Desarrollador OWASP es un esfuerzo comunitario; si hay algo que necesite cambios
+entonces [cree un issue][issue0504] o [edítelo en GitHub][edit0504].
+
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[edit0504]: https://github.com/OWASP/DevGuide/blob/main/docs/es/03-requirements/04-security-rat.md
+[en0504]: https://devguide.owasp.org/en/03-requirements/04-security-rat/
+[issue0504]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2003-requirements/04-security-rat
+[spotlight05]: https://youtu.be/HiaHXtzJ3DE
+[scat]: https://securityrat.github.io/int_securitycat.html#securitycat
+[srat]: https://owasp.org/www-project-securityrat/
+[sratdemo]: https://securityrat.org/
+[sratdeploy]: https://securityrat.github.io/depl_production.html
+[sratdocker]: https://hub.docker.com/r/securityrat/securityrat
+[sratdocs]: https://securityrat.github.io/
diff --git a/docs/es/03-requirements/05-asvs.md b/docs/es/03-requirements/05-asvs.md
new file mode 100644
index 00000000..84c05318
--- /dev/null
+++ b/docs/es/03-requirements/05-asvs.md
@@ -0,0 +1,115 @@
+{ align=right width=180 }
+
+El [Estándar de Verificación de Seguridad de Aplicaciones][asvs] (ASVS) es un proyecto insignia de OWASP
+establecido desde hace tiempo,
+y es ampliamente utilizado para sugerir requisitos de seguridad, así como
+para la verificación central de aplicaciones web.
+
+Se puede descargar desde la [página del proyecto OWASP][asvs] en varios idiomas y formatos:
+PDF, Word, CSV, XML y JSON. Dicho esto, la forma recomendada de consumir el ASVS es acceder
+directamente a las [páginas markdown de github][asvsmd] - esto asegurará que se utilice la versión más reciente.
+
+#### ¿Qué es ASVS?
+
+El ASVS es un estándar abierto que establece la cobertura y el nivel de rigor esperados cuando se trata de
+realizar la verificación de seguridad de aplicaciones web.
+El estándar también proporciona una base para probar cualquier control técnico de seguridad
+en el que se confía para proteger contra vulnerabilidades en la aplicación.
+
+El ASVS se divide en varias secciones:
+
+* V1 [Arquitectura, Diseño y Modelado de Amenazas][asvsV1]
+* V2 [Autenticación][asvsV2]
+* V3 [Gestión de Sesiones][asvsV3]
+* V4 [Control de Acceso][asvsV4]
+* V5 [Validación, Sanitización y Codificación][asvsV5]
+* V6 [Criptografía Almacenada][asvsV6]
+* V7 [Manejo de Errores y Registro][asvsV7]
+* V8 [Protección de Datos][asvsV8]
+* V9 [Comunicación][asvsV9]
+* V10 [Código Malicioso][asvsV10]
+* V11 [Lógica de Negocio][asvsV11]
+* V12 [Archivos y Recursos][asvsV12]
+* V13 [API y Servicios Web][asvsV13]
+* V14 [Configuración][asvsV14]
+
+El ASVS define tres [niveles de verificación de seguridad][asvsL123]:
+
+1. aplicaciones que solo necesitan niveles bajos de garantía; estas aplicaciones
+ son completamente comprobables mediante pruebas de penetración
+2. aplicaciones que contienen datos sensibles que requieren protección;
+ el nivel recomendado para la mayoría de las aplicaciones
+3. las aplicaciones más críticas que requieren el más alto nivel de confianza
+
+La mayoría de las aplicaciones apuntarán al Nivel 2, y solo aquellas aplicaciones
+que realizan transacciones de alto valor,
+o contienen datos médicos sensibles, aspirarán al más alto nivel de confianza en el nivel 3.
+
+#### ¿Por qué usarlo?
+
+El ASVS es utilizado por muchas organizaciones como base para la verificación de sus aplicaciones web.
+Está bien establecido, las versiones anteriores fueron escritas en 2008,
+y ha sido continuamente respaldado desde entonces.
+El ASVS es exhaustivo, por ejemplo, la versión 4.0.3 tiene una lista de 286 requisitos de verificación,
+y estos requisitos de verificación han sido creados y acordados por una amplia comunidad de seguridad.
+
+Por estas razones, el ASVS es un buen punto de partida para crear
+y actualizar requisitos de seguridad para aplicaciones web.
+El uso generalizado de este estándar abierto significa que los equipos de desarrollo y proveedores
+pueden ya estar familiarizados con los requisitos, lo que facilita la adopción de los requisitos de seguridad.
+
+#### Cómo usarlo
+
+La serie OWASP Spotlight proporciona una visión general del ASVS y sus usos:
+'Proyecto 19 - [Estándar de Verificación de Seguridad de Aplicaciones (ASVS) de OWASP][spotlight19]'.
+
+Se debe elegir el nivel apropiado de verificación de los niveles ASVS:
+
+* Nivel 1: Primeros pasos, automatizado, o vista de toda la cartera
+* Nivel 2: La mayoría de las aplicaciones
+* Nivel 3: Alto valor, alta garantía o alta seguridad
+
+Herramientas como [SecurityRAT][srat] pueden ayudar a crear un subconjunto más manejable de
+los requisitos de seguridad ASVS,
+permitiendo el enfoque y las decisiones sobre si cada uno es aplicable a la aplicación web o no.
+
+Las Hojas de Referencia (Cheat Sheets) de OWASP han sido indexadas específicamente para [cada sección del ASVS][csasvs],
+que pueden usarse como documentación para ayudar a decidir si una categoría de requisitos
+debe incluirse en el esquema de pruebas.
+
+#### Referencias
+
+* [Estándar de Verificación de Seguridad de Aplicaciones][asvs] (ASVS) de OWASP
+* [Hojas de Referencias para ASVS][csasvs] de OWASP
+* [SecurityRAT][srat] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en0505].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiar
+entonces [cree un issue][issue0505] o [edítelo en GitHub][edit0505].
+
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[asvsL123]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x03-Using-ASVS.md#application-security-verification-levels
+[asvsmd]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x00-Header.md
+[asvsV1]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x10-V1-Architecture.md#v1-architecture-design-and-threat-modeling
+[asvsV2]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x11-V2-Authentication.md#v2-authentication
+[asvsV3]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x12-V3-Session-management.md#v3-session-management
+[asvsV4]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x12-V4-Access-Control.md#v4-access-control
+[asvsV5]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x13-V5-Validation-Sanitization-Encoding.md#v5-validation-sanitization-and-encoding
+[asvsV6]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x14-V6-Cryptography.md#v6-stored-cryptography
+[asvsV7]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x15-V7-Error-Logging.md#v7-error-handling-and-logging
+[asvsV8]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x16-V8-Data-Protection.md#v8-data-protection
+[asvsV9]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x17-V9-Communications.md#control-objective
+[asvsV10]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x18-V10-Malicious.md#v10-malicious-code
+[asvsV11]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x19-V11-BusLogic.md#v11-business-logic
+[asvsV12]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x20-V12-Files-Resources.md#v12-files-and-resources
+[asvsV13]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x21-V13-API.md#v13-api-and-web-service
+[asvsV14]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x22-V14-Config.md#v14-configuration
+[csasvs]: https://cheatsheetseries.owasp.org/IndexASVS.html
+[edit0505]: https://github.com/OWASP/DevGuide/blob/main/docs/es/03-requirements/05-asvs.md
+[en0505]: https://devguide.owasp.org/en/03-requirements/05-asvs/
+[issue0505]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2003-requirements/05-asvs
+[spotlight19]: https://youtu.be/3puIavsZfAk
+[srat]: https://owasp.org/www-project-securityrat/
diff --git a/docs/es/03-requirements/06-mas.md b/docs/es/03-requirements/06-mas.md
new file mode 100644
index 00000000..7653aaf7
--- /dev/null
+++ b/docs/es/03-requirements/06-mas.md
@@ -0,0 +1,80 @@
+{ align=right width=180 }
+
+El proyecto insignia de OWASP [Seguridad de Aplicaciones Móviles][masproject] (MAS) proporciona
+estándares de la industria para la seguridad de aplicaciones móviles.
+
+El proyecto MAS cubre los procesos, técnicas y herramientas utilizados
+para las pruebas de seguridad de aplicaciones móviles.
+Proporciona un conjunto de casos de prueba que permite a los testeadores entregar resultados consistentes y completos.
+El proyecto OWASP MAS proporciona tanto el [Estándar de Verificación de Seguridad de Aplicaciones Móviles][masvs] (MASVS)
+para aplicaciones móviles como la [Guía de Pruebas de Seguridad de Aplicaciones Móviles][mastg] (MASTG).
+
+#### ¿Qué es MASVS?
+
+El [OWASP MASVS][mas] es utilizado por arquitectos y desarrolladores de software móvil
+para desarrollar aplicaciones móviles seguras,
+así como por evaluadores de seguridad para garantizar la integridad y consistencia de los resultados de las pruebas.
+El proyecto MAS tiene varios usos; cuando se trata de definir requisitos,
+el MASVS contiene una lista de controles de seguridad para aplicaciones móviles.
+
+Los controles de seguridad se dividen en varias categorías:
+
+* [MASVS-STORAGE](https://mas.owasp.org/MASVS/05-MASVS-STORAGE/) / [Hojas de Referencia][masvs-storage]
+* [MASVS-CRYPTO](https://mas.owasp.org/MASVS/06-MASVS-CRYPTO/) / [Hojas de Referencia][masvs-crypto]
+* [MASVS-AUTH](https://mas.owasp.org/MASVS/07-MASVS-AUTH/) / [Hojas de Referencia][masvs-auth]
+* [MASVS-NETWORK](https://mas.owasp.org/MASVS/08-MASVS-NETWORK/) / [Hojas de Referencia][masvs-network]
+* [MASVS-PLATFORM](https://mas.owasp.org/MASVS/09-MASVS-PLATFORM/) / [Hojas de Referencia][masvs-platform]
+* [MASVS-CODE](https://mas.owasp.org/MASVS/10-MASVS-CODE/) / [Hojas de Referencia][masvs-code]
+* [MASVS-RESILIENCE](https://mas.owasp.org/MASVS/11-MASVS-RESILIENCE/) / [Hojas de Referencia][masvs-resilience]
+* [MASVS-PRIVACY](https://mas.owasp.org/MASVS/12-MASVS-PRIVACY/) / [Hojas de Referencia][masvs-privacy]
+
+La última categoría, MASVS-PRIVACY, está siendo reelaborada por lo que está sujeta a cambios.
+
+#### ¿Por qué usar MASVS?
+
+El OWASP MASVS es el estándar de la industria para [seguridad de aplicaciones móviles][csmas]
+y se espera que cualquier conjunto dado de requisitos de seguridad satisfaga el MASVS.
+Al definir requisitos de seguridad para aplicaciones móviles, cada control de seguridad en el MASVS debe ser considerado.
+
+#### Cómo usar MASVS
+
+MASVS puede ser [accedido en línea][masvs] y se pueden seguir los enlaces para cada control de seguridad.
+Además, MASVS puede descargarse como PDF que puede, por ejemplo, utilizarse para fines de evidencia o cumplimiento.
+Inspeccione cada control dentro de MASVS y considérelo como un requisito de seguridad potencial.
+
+Las Hojas de Referencia de OWASP han sido indexadas específicamente para [cada categoría del MASVS][csmasvs],
+que pueden utilizarse como guía para decidir si la categoría debe incluirse en el esquema de pruebas.
+
+#### Referencias
+
+* [Seguridad de Aplicaciones Móviles][mas] de OWASP(MAS - Mobile Application Security)
+* [Proyecto][masproject] MAS
+* [Lista de verificación][masc] MAS
+* [Estándar de Verificación][masvs] MAS (MASVS)
+* Hojas de Referencia de [Seguridad de Aplicaciones Móviles][csmas] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en0506].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiar
+entonces [cree un issue][issue0506] o [edítelo en GitHub][edit0506].
+
+[csmas]: https://cheatsheetseries.owasp.org/cheatsheets/Mobile_Application_Security_Cheat_Sheet
+[csmasvs]: https://cheatsheetseries.owasp.org/IndexMASVS
+[edit0506]: https://github.com/OWASP/DevGuide/blob/main/docs/es/03-requirements/06-mas.md
+[en0506]: https://devguide.owasp.org/en/03-requirements/06-mas/
+[issue0506]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2003-requirements/06-mas
+[mas]: https://mas.owasp.org/
+[masc]: https://mas.owasp.org/checklists/
+[masproject]: https://owasp.org/www-project-mobile-app-security/
+[mastg]: https://mas.owasp.org/MASTG/
+[masvs]: https://mas.owasp.org/MASVS/
+[masvs-storage]: https://cheatsheetseries.owasp.org/IndexMASVS.html#masvs-storage
+[masvs-crypto]: https://cheatsheetseries.owasp.org/IndexMASVS.html#masvs-crypto
+[masvs-auth]: https://cheatsheetseries.owasp.org/IndexMASVS.html#masvs-auth
+[masvs-network]: https://cheatsheetseries.owasp.org/IndexMASVS.html#masvs-network
+[masvs-platform]: https://cheatsheetseries.owasp.org/IndexMASVS.html#masvs-platform
+[masvs-code]: https://cheatsheetseries.owasp.org/IndexMASVS.html#masvs-code
+[masvs-resilience]: https://cheatsheetseries.owasp.org/IndexMASVS.html#masvs-resilience
+[masvs-privacy]: https://cheatsheetseries.owasp.org/IndexMASVS.html#masvs-privacy
diff --git a/docs/es/03-requirements/07-skf.md b/docs/es/03-requirements/07-skf.md
new file mode 100644
index 00000000..bd18a24d
--- /dev/null
+++ b/docs/es/03-requirements/07-skf.md
@@ -0,0 +1,80 @@
+{ align=right width=180 }
+
+El framework de conocimientos de seguridad[Security Knowledge Framework][skf] (SKF)
+es una aplicación de sistema experto que utiliza varios proyectos de código abierto
+para apoyar a los equipos de desarrollo y arquitectos de seguridad en la construcción de aplicaciones seguras.
+El SKF se basa en el [Estándar de Verificación de Seguridad de Aplicaciones][asvs] (ASVS) de OWASP
+para ayudar a los desarrolladores tanto en las fases previas al desarrollo como posteriores al desarrollo
+y crear aplicaciones seguras por diseño.
+
+Después de haber sido un proyecto insignia de OWASP durante muchos años, el SKF ya no forma parte de la organización OWASP;
+y continuará siendo referenciado en el OWASP Wayfinder y otros proyectos de OWASP
+porque es un proyecto insignia para cualquier organización.
+
+#### ¿Qué es el Security Knowledge Framework?
+
+El [SKF][skf] es una aplicación web que está disponible en el [repositorio de github][skfinstall].
+Hay una versión demo de SKF que es útil para explorar los múltiples beneficios del SKF.
+Tenga en cuenta que SKF está en proceso de migración a un [nuevo repositorio][skfrepo]
+por lo que el enlace de descarga puede cambiar.
+
+El SKF proporciona capacitación y orientación para la seguridad de aplicaciones:
+
+* [Organizador][skfreqs] de requisitos
+* Cursos de aprendizaje
+* Laboratorios de práctica
+* Documentación sobre [instalación y uso][skfdocs] del SKF
+
+#### ¿Por qué usar el SKF para requisitos?
+
+El SKF organiza los requisitos de seguridad en varias categorías que proporcionan un buen punto de partida
+para la seguridad de aplicaciones.
+
+* API y Servicio Web
+* Control de Acceso
+* Arquitectura, Diseño y Modelado de Amenazas
+* Autenticación
+* Lógica de Negocio
+* Comunicación
+* Configuración
+* Protección de Datos
+* Manejo de Errores y Registro
+* Archivos y Recursos
+* Código Malicioso
+* Gestión de Sesiones
+* Criptografía Almacenada
+* Validación, Sanitización y Codificación
+
+#### Cómo usar el SKF para requisitos
+
+Visite el [sitio web de la herramienta de requisitos][skfreqs]
+y seleccione los requisitos relevantes de las diversas categorías.
+Exporte la selección al formato de su elección (Markdown, hoja de cálculo CSV o texto plano)
+y utilícelo como punto de partida para los requisitos de seguridad de la aplicación.
+
+La serie OWASP Spotlight proporciona una visión general del SKF:
+'Proyecto 7 - [Security Knowledge Framework (SKF)][spotlight07]'.
+
+#### Referencias
+
+* [Security Knowledge Framework][skf] (SKF)
+* [Requisitos de SKF][skfreqs]
+* OWASP [Estándar de Verificación de Seguridad de Aplicaciones][asvs] (ASVS)
+
+----
+
+Traducción de versión [original en inglés][en0507].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiar
+entonces [cree un issue][issue0507] o [edítelo en GitHub][edit0507].
+
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[edit0507]: https://github.com/OWASP/DevGuide/blob/main/docs/es/03-requirements/07-skf.md
+[en0507]: https://devguide.owasp.org/en/03-requirements/07-skf/
+[issue0507]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2003-requirements/07-skf
+[skf]: https://www.securityknowledgeframework.org/
+[skfdocs]: https://skf.readme.io/docs/introduction
+[skfinstall]: https://github.com/blabla1337/skf-flask/releases
+[skfrepo]: https://github.com/Security-Knowledge-Framework
+[skfreqs]: https://github.com/Security-Knowledge-Framework/SKF-requirements-tool
+[spotlight07]: https://youtu.be/TFX_ZBy6lNY
diff --git a/docs/es/03-requirements/index.md b/docs/es/03-requirements/index.md
new file mode 100644
index 00000000..330bdc00
--- /dev/null
+++ b/docs/es/03-requirements/index.md
@@ -0,0 +1,35 @@
+{ align=right width=180 }
+
+Los requisitos de seguridad también proporcionan una base de funcionalidad de seguridad minuciosamente verificada
+para una aplicación.
+En lugar de crear un enfoque personalizado de seguridad para cada aplicación,
+los requisitos de seguridad estándar permiten a los desarrolladores reutilizar
+la definición de controles de seguridad y mejores prácticas;
+esos mismos requisitos de seguridad verificados proporcionan soluciones para problemas de seguridad
+que han ocurrido en el pasado.
+
+La importancia de comprender los requisitos clave de seguridad se describe en
+la práctica de [Requisitos de Seguridad][sammdsr]
+que forma parte de la sección de función empresarial [Diseño][sammd] dentro del [modelo SAMM][samm] de OWASP.
+Idealmente, los requisitos de seguridad de software estructurados están disponibles dentro de
+un marco de requisitos de seguridad,
+y estos son utilizados tanto por los equipos de desarrolladores como por los equipos de producto.
+Además, los proveedores de la organización deben cumplir con los requisitos de seguridad;
+incorporar la seguridad en los acuerdos con proveedores para garantizar el cumplimiento de
+los requisitos de seguridad organizacionales.
+
+En resumen, los requisitos de seguridad existen para prevenir la repetición de fallos de seguridad pasados.
+
+----
+
+Traducción de versión [original en inglés][en0500].
+
+La Guía de Desarrollador OWASP es un esfuerzo comunitario; si hay algo que necesite cambios
+entonces [cree un issue][issue0500] o [edítelo en GitHub][edit0500].
+
+[edit0500]: https://github.com/OWASP/DevGuide/blob/main/docs/es/03-requirements/index.md
+[en0500]: https://devguide.owasp.org/en/03-requirements/
+[issue0500]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2003-requirements/index
+[samm]: https://owaspsamm.org/about/
+[sammd]: https://owaspsamm.org/model/design/
+[sammdsr]: https://owaspsamm.org/model/design/security-requirements/
diff --git a/docs/es/04-design/01-threat-modeling/01-threat-modeling.md b/docs/es/04-design/01-threat-modeling/01-threat-modeling.md
new file mode 100644
index 00000000..3f2491bc
--- /dev/null
+++ b/docs/es/04-design/01-threat-modeling/01-threat-modeling.md
@@ -0,0 +1,297 @@
+Esta sección trata sobre el Modelado de Amenazas, una actividad descrita en
+el Modelo de Madurez de Aseguramiento de Software de OWASP ([SAMM][samm]).
+El modelado de amenazas es parte de la práctica de seguridad de [Evaluación de Amenazas][sammdta]
+en la función empresarial de [Diseño][sammd].
+
+Gran parte del material de esta sección está extraído del [proyecto de Modelado de Amenazas][tmproject] de OWASP,
+y la filosofía de esta sección intenta seguir el [Manifiesto de Modelado de Amenazas][tmmanifesto].
+
+{ width=250 }
+
+#### Descripción general
+
+Las actividades de modelado de amenazas intentan descubrir lo que podría salir mal dentro de un sistema
+y determinar qué hacer al respecto.
+Los resultados del modelado de amenazas toman diversas formas, incluyendo modelos y diagramas de sistemas,
+listas de amenazas, mitigaciones o suposiciones, notas de reuniones y más.
+Esto puede reunirse en un único documento de modelo de amenazas; una representación estructurada de toda la información
+que afecta a la seguridad de una aplicación.
+Una buena visión general de esta actividad se proporciona en la sección sobre modelado de amenazas
+del proyecto [Cultura de Seguridad][culturetm].
+
+En esencia, es una visión de la aplicación y su entorno a través de cristales de seguridad.
+
+El modelado de amenazas es un proceso para capturar, organizar y analizar toda esta información
+y permite la toma de decisiones informadas sobre el riesgo de seguridad de la aplicación.
+Además de producir un modelo, los esfuerzos típicos de modelado de amenazas también producen una lista priorizada
+de vulnerabilidades de seguridad _potenciales_ en el concepto, los requisitos, el diseño o la implementación.
+Cualquier vulnerabilidad potencial que se haya identificado a partir del modelo debe ser remediada
+utilizando una de las estrategias comunes: mitigar, eliminar, transferir o aceptar la amenaza de ser explotada.
+
+Hay muchas razones para hacer modelado de amenazas, pero la más importante es que esta actividad es _útil_,
+probablemente es la única etapa en un ciclo de vida de desarrollo donde un equipo se detiene y pregunta:
+"¿Qué puede salir mal?".
+
+Hay otras razones para el modelado de amenazas, por ejemplo, el cumplimiento de estándares
+o el análisis para la recuperación ante desastres, pero el objetivo principal del modelado de amenazas es remediar
+vulnerabilidades (posibles) antes de que los actores maliciosos puedan explotarlas.
+
+#### Qué es el modelado de amenazas
+
+El modelado de amenazas trabaja para identificar, comunicar y comprender las amenazas y mitigaciones
+dentro del contexto de proteger algo de valor.
+
+El modelado de amenazas se puede aplicar a una amplia gama de cosas, incluyendo software, aplicaciones, sistemas, redes,
+sistemas distribuidos, cosas en Internet de las cosas, procesos de negocio, etc.
+Hay muy pocos productos técnicos que no puedan tener un modelado de amenazas;
+que sea más o menos gratificante, dependiendo de cuánto éste se comunica, o interactúa, con el mundo.
+
+Un documento de modelo de amenazas es un registro del proceso de modelado de amenazas, y a menudo incluye:
+
+* una descripción / diseño / modelo de lo que es preocupante
+* una lista de suposiciones que pueden ser verificadas o rechazadas en el futuro
+ a medida que cambia el panorama de amenazas
+* amenazas potenciales al sistema
+* remediación / acciones a tomar para cada amenaza
+* formas de validar el modelo y las amenazas, y verificación del éxito de las acciones tomadas
+
+El modelo de amenazas debe estar en una forma que pueda ser fácilmente revisada y modificada
+durante las discusiones posteriores de modelado de amenazas.
+
+#### Por qué hacerlo
+
+Como todas las actividades de ingeniería, el esfuerzo dedicado al modelado de amenazas tiene que ser justificable.
+Raramente cualquier proyecto o desarrollo tiene esfuerzo de ingeniería que "salga sobrando",
+y los beneficios del modelado de amenazas tienen que superar el costo de ingeniería de esta actividad.
+Usualmente esto es difícil de cuantificar; una forma más fácil de abordarlo puede ser preguntar
+¿cuáles son los costos de _no_ hacer modelado de amenazas?
+Estos costos pueden consistir en fallas de cumplimiento, un mayor riesgo de ser explotado, daño a la reputación, etc.
+
+La inclusión del modelado de amenazas en las actividades de desarrollo seguro puede ayudar a:
+
+* Construir un diseño seguro
+* Inversión eficiente de recursos; priorizar adecuadamente la seguridad, el desarrollo y otras tareas
+* Reunir a Seguridad y Desarrollo para colaborar en una comprensión compartida, informando el desarrollo del sistema
+* Identificar amenazas y requisitos de cumplimiento, y evaluar su riesgo
+* Definir y construir los controles requeridos.
+* Equilibrar riesgos, controles y usabilidad
+* Identificar dónde construir un control es innecesario, basado en un riesgo aceptable
+* Documentar amenazas y mitigación
+* Asegurar que los requisitos de negocio (o metas) estén adecuadamente protegidos frente a
+ un actor malicioso, accidentes u otras causas de impacto
+* Identificación de casos de prueba de seguridad / escenarios de prueba de seguridad
+ para probar los requisitos de seguridad
+
+El modelado de amenazas también proporciona una clara "línea de visión" (mediante límites y alcances del objetivo)
+a través de un proyecto que puede ser utilizada
+para justificar otros esfuerzos de seguridad.
+El modelo de amenazas permite que las decisiones de seguridad se tomen racionalmente, con toda la información disponible,
+para que las decisiones de seguridad puedan ser adecuadamente respaldadas.
+El proceso de modelado de amenazas naturalmente produce un argumento de aseguramiento que puede ser utilizado para explicar
+y defender la seguridad de una aplicación.
+Un argumento de aseguramiento comienza con algunas afirmaciones de alto nivel
+y luego las justifica con sub-afirmaciones o evidencias.
+
+#### Cuándo modelar amenazas
+
+No hay un momento incorrecto para hacer modelado de amenazas;
+cuanto antes se haga en el ciclo de vida del desarrollo, más beneficioso es,
+pero el modelado de amenazas también es útil en cualquier momento durante el desarrollo de la aplicación.
+
+El modelado de amenazas se aplica mejor de forma continua a lo largo de un proyecto de desarrollo de software.
+El proceso es esencialmente el mismo en diferentes niveles de abstracción,
+aunque la información se vuelve cada vez más granular a lo largo del ciclo de vida del desarrollo.
+Idealmente, un modelo de amenazas de alto nivel debería definirse en la fase de concepto o planificación,
+y luego refinarse durante las fases de desarrollo.
+A medida que se agregan más detalles al sistema, se identifican nuevos vectores de ataque,
+por lo que el proceso continuo de modelado de amenazas debe examinar, diagnosticar y abordar estas amenazas.
+
+Nótese que es una parte natural del refinamiento de un sistema que se expongan nuevas amenazas.
+Cuando se selecciona una tecnología particular, como Java por ejemplo,
+se asume la responsabilidad de identificar las nuevas amenazas que se crean por esa elección.
+Incluso decisiones de implementación como usar expresiones regulares para la validación
+introducen nuevas amenazas potenciales que hay que tratar.
+
+Modelado de amenazas: _cuanto antes mejor, pero nunca demasiado tarde_
+
+#### Preguntas que hacer
+
+A menudo, el modelado de amenazas es una actividad conceptual más que un proceso riguroso,
+donde se reúnen equipos de desarrollo y se les pide que piensen en formas de comprometer la seguridad de su sistema.
+Para proporcionar algo de estructura, es útil comenzar con el [Marco de Cuatro Preguntas][4QFW] de Shostack:
+
+**1 ¿En qué estamos trabajando**?
+
+Como punto de partida, se debe definir el alcance del Modelo de Amenazas.
+Esto requerirá una comprensión de la aplicación que se está construyendo,
+y algunos ejemplos de entradas para el modelo de amenazas podrían ser:
+
+* Diagramas de arquitectura
+* Transiciones de flujo de datos
+* Clasificaciones de datos
+
+Es común representar las respuestas a esta pregunta con uno o más diagramas de flujo de datos
+y a menudo diagramas complementarios como diagramas de secuencia de mensajes.
+
+Es mejor reunir a personas de diferentes roles con suficiente conciencia técnica y de riesgo
+para que puedan acordar el marco a utilizar durante el ejercicio de modelado de amenazas.
+
+**2 ¿Qué puede salir mal**?
+
+Esta es una actividad de investigación para encontrar las principales amenazas que se aplican a tu aplicación.
+Hay muchas formas de abordar la pregunta, incluida la discusión abierta o el uso de una estructura para ayudar a pensarlo.
+Las técnicas y metodologías a considerar incluyen CIA, [STRIDE][stride], [LINDDUN][linddun],
+[cadenas de eliminación cibernética][chains], [PASTA][pasta], patrones de ataque comunes ([CAPEC][capec]) y otros.
+
+Existen recursos disponibles que ayudarán a identificar amenazas y vulnerabilidades.
+OWASP proporciona un conjunto de tarjetas, [Cornucopia][corncards],
+que ofrecen sugerencias y explicaciones para vulnerabilidades generales.
+El juego de tarjetas de modelado de amenazas [Elevation of Privileges][eop]
+es una forma fácil de comenzar con el modelado de amenazas,
+y existe la versión OWASP de [Serpientes y Escaleras][snakes] que realmente gamifica estas actividades.
+
+**3 ¿Qué vamos a hacer al respecto**?
+
+En esta fase, se convierte los hallazgos del modelo de amenazas en acciones específicas.
+Considere la remediación apropiada para cada amenaza identificada: Transferir, Evitar, Mitigar o Eliminar.
+
+**4 ¿Hicimos un trabajo lo suficientemente bueno**?
+
+Finalmente, realiza una actividad retrospectiva sobre el trabajo identificado para verificar
+calidad, viabilidad, progreso o planificación.
+
+El [Manual de Modelado de Amenazas][tmpb] de OWASP profundiza en estos aspectos prácticos
+y proporciona estrategias para mantener el modelado de amenazas dentro de una organización.
+
+#### Cómo hacerlo
+
+No existe un único proceso para el modelado de amenazas.
+Cómo se hace en la práctica variará según la cultura de la organización,
+según qué tipo de sistema/aplicación se está modelando
+y según las preferencias del propio equipo de desarrollo.
+Las diversas técnicas y conceptos se discuten en la [Hoja de Referencia de Modelado de Amenazas][cstm]
+y se pueden resumir así:
+
+1. Terminología: intente usar términos estándar como actores, límites de confianza, etc,
+ ya que esto ayudará a transmitir estos conceptos
+2. Alcance: sea claro sobre lo que se está modelando y manténgase dentro de este alcance
+3. Documentar: decida qué herramientas y qué resultados se requieren para satisfacer el cumplimiento, por ejemplo
+4. Descomponer: divida el sistema que se está modelando en partes manejables
+5. Confianza: identifique los límites de confianza, considere la [segmentación de red][ccsnet]
+6. Agentes: identifique quiénes son los actores (maliciosos o no) y qué pueden hacer
+7. Categorizar: priorice las amenazas teniendo en cuenta la probabilidad, el impacto y cualquier otro factor
+8. Remediación: asegúrese de decidir qué hacer con las amenazas identificadas, la razón principal del modelado de amenazas
+
+Vale la pena decirlo de nuevo: hay muchas formas de hacer modelado de amenazas,
+todas perfectamente válidas, así que elija el proceso correcto que funcione para un equipo específico.
+
+#### Recomendación final
+
+Algunas palabras finales sobre el modelado de amenazas.
+
+**Hágalo incremental**:
+
+Considere firmemente usar [modelado de amenazas incremental][sammgata].
+Sin duda alguna es una mala idea tratar de modelar completamente una aplicación o sistema existente;
+puede ser muy lento modelar todo un sistema,
+y para cuando se complete dicho modelo, probablemente ya estaría desactualizado.
+En cambio, modela incrementalmente nuevas características o mejoras a medida que se desarrollan.
+
+El modelado de amenazas incremental asume que las aplicaciones y características existentes
+ya han sido atacadas con el tiempo y estas vulnerabilidades del mundo real han sido remediadas.
+Son las nuevas características o nuevas aplicaciones las que presentan un mayor riesgo de seguridad;
+si son vulnerables, reducirán la seguridad de la aplicación o sistema existente.
+Concentrarse en los nuevos cambios aplica el esfuerzo de modelado de amenazas en el lugar donde más se necesita;
+como mínimo, los cambios no deberían empeorar la seguridad, e, idealmente, la seguridad debería mejorar.
+
+**Las herramientas son secundarias**:
+
+Es bueno estandarizar las herramientas de modelado de amenazas en toda la organización,
+pero también permitir que los equipos elijan cómo registran sus modelos de amenazas.
+Si un equipo decide usar Threat Dragon, por ejemplo, y otro quiere usar una pizarra,
+entonces eso generalmente está bien.
+Las discusiones mantenidas durante el proceso de modelado de amenazas son más importantes que la herramienta utilizada,
+aunque podrías preguntar al equipo que usa la pizarra cómo implementan el control de cambios para sus modelos.
+
+**La brevedad es primordial**:
+
+Es muy fácil crear un modelo de amenazas que se parezca mucho a un diagrama del sistema,
+con muchos componentes y flujos de datos.
+Esto logrará un diagrama convincente, pero no es un modelo específico para la amenaza de exploits.
+En cambio, concéntrese en las superficies de ataque/amenaza y sea robusto al consolidar múltiples componentes del sistema
+en un solo componente del modelo de amenazas.
+Esto mantendrá el número de componentes y flujos de datos de tamano manejable, y enfoca la discusión en lo que más importa:
+actores maliciosos (externos o internos) tratando de comprometer la seguridad de su sistema.
+
+**Elige tu metodología**:
+
+Es una buena estrategia elegir una metodología de categorización de amenazas para toda la organización
+y luego tratar de mantenerla.
+Por ejemplo, podría ser [STRIDE][stride] o [LINDDUN][linddun], pero si la tríada CIA proporciona suficiente granularidad,
+entonces también es una elección perfectamente buena.
+
+#### Lectura adicional
+
+* [Manifiesto de Modelado de Amenazas][tmmanifesto]
+* [Proyecto de Modelo de Amenazas][tmproject] de OWASP
+* [Hoja de Referencia de Modelado de Amenazas] [cstm] de OWASP
+* [Manual de Modelado de Amenazas (OTMP)][tmpb] de OWASP
+* [Hoja de Referencia de Análisis de Superficie de Ataque][asacs] de OWASP
+* Páginas comunitarias de OWASP sobre [Modelado de Amenazas][TM] y el [Proceso de Modelado de Amenazas][TMP]
+* [El Marco de Cuatro Preguntas Para el Modelado de Amenazas](https://youtu.be/Yt0PhyEdZXU) video de 60 segundos
+* [Cadena de Eliminación Cibernética][chains] de Lockheed
+* Proceso de VerSprite para Simulación de Ataques y Análisis de Amenazas ([PASTA][pasta])
+* [Modelado de Amenazas: Diseñando para la Seguridad][TMdesigning]
+* [Modelado de Amenazas: Una Guía Práctica para Equipos de Desarrollo][TMpractical]
+
+#### Recursos
+
+* [Marco de Cuatro Preguntas][4QFW] de Shostack
+* [pytm][PYTM] herramienta de Modelado de Amenazas Pythónico de OWASP
+* OWASP [Threat Dragon][tdtm] herramienta de modelado de amenazas usando diagramas de flujo de datos
+* [Threagile](https://threagile.io), un proyecto de código abierto que proporciona modelado de amenazas Ágil
+* [Herramienta de Modelado de Amenazas][TMT] de Microsoft, una herramienta ampliamente utilizada
+ en toda la comunidad de seguridad y de descarga gratuita
+* [threatspec](https://github.com/threatspec/threatspec), una herramienta de código abierto basada
+ en comentarios en línea con el código
+* Enumeración y Clasificación de Patrones de Ataque Comunes de MITRE ([CAPEC][capec])
+* [Calculadora del Sistema Común de Puntuación de Vulnerabilidades][nist-cvss] de NIST
+
+----
+
+Traducción de versión [original en inglés][en060101].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambios,
+[cree un issue][issue060101] o [edítelo en GitHub][edit060101].
+
+[4QFW]: https://github.com/adamshostack/4QuestionFrame
+[asacs]: https://cheatsheetseries.owasp.org/cheatsheets/Attack_Surface_Analysis_Cheat_Sheet
+[capec]: https://capec.mitre.org/
+[chains]: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
+[corncards]: https://owasp.org/www-project-cornucopia/
+[ccsnet]: https://cheatsheetseries.owasp.org/cheatsheets/Network_Segmentation_Cheat_Sheet
+[cstm]: https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet
+[culturetm]: https://owasp.org/www-project-security-culture/stable/6-Threat_Modelling/
+[eop]: https://shostack.org/games/elevation-of-privilege
+[edit060101]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/01-threat-modeling/01-threat-modeling.md
+[en060101]: https://devguide.owasp.org/en/04-design/01-threat-modeling/01-threat-modeling/
+[issue060101]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/01-threat-modeling/01-threat-modeling
+[linddun]: https://linddun.org/
+[nist-cvss]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[pasta]: https://versprite.com/blog/what-is-pasta-threat-modeling/
+[PYTM]: https://owasp.org/www-project-pytm/
+[samm]: https://owaspsamm.org/about/
+[sammd]: https://owaspsamm.org/model/design/
+[sammdta]: https://owaspsamm.org/model/design/threat-assessment/
+[sammgata]: https://owaspsamm.org/guidance/agile/#TA
+[snakes]: https://owasp.org/www-project-snakes-and-ladders/
+[stride]: https://en.wikipedia.org/wiki/STRIDE_%28security%29
+[tdtm]: https://owasp.org/www-project-threat-dragon/
+[tmpb]: https://owasp.org/www-project-threat-modeling-playbook/
+[tmproject]: https://owasp.org/www-project-threat-model/
+[tmmanifesto]: https://www.threatmodelingmanifesto.org/
+[TM]: https://owasp.org/www-community/Threat_Modeling
+[TMP]: https://owasp.org/www-community/Threat_Modeling_Process
+[TMdesigning]: https://shostack.org/books/threat-modeling-book
+[TMpractical]: https://threatmodeling.dev/
+[TMT]: https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool
diff --git a/docs/es/04-design/01-threat-modeling/02-pytm.md b/docs/es/04-design/01-threat-modeling/02-pytm.md
new file mode 100644
index 00000000..613a8614
--- /dev/null
+++ b/docs/es/04-design/01-threat-modeling/02-pytm.md
@@ -0,0 +1,117 @@
+{ align=right width=180 }
+
+El proyecto OWASP [pytm (Modelado de Amenazas Pythónico)][pytmproject] es un marco
+para el modelado de amenazas y su automatización.
+El objetivo de pytm es realizar el modelado de amenazas Shift-Left, lo que significa iniciar
+el modelado ya en etapas tempranas del proyecto, haciendo que el modelado de amenazas sea más automatizado
+y centrado en el desarrollador.
+
+Pytm es un Proyecto de Producción de OWASP con una comunidad de colaboradores
+que crean [versiones regulares][pytmreleases].
+
+#### ¿Qué es pytm?
+
+Pytm es una biblioteca Python que proporciona una forma programática de modelado de amenazas;
+el modelo de aplicación en sí se define como un archivo fuente de python3 y sigue la sintaxis del programa Python.
+Los hallazgos se incluyen en un informe de modelado de amenazas basado en plantillas.
+El archivo de amenazas puede reutilizarse entre proyectos y permite la acumulación de una base de conocimiento.
+
+Usando pytm, el modelo y las amenazas pueden ser programáticamente generados
+como un diagrama de flujo de datos [dot][graphvizdot]
+que se muestra utilizando [Graphviz][graphviz], una utilidad de software de visualización de gráficos de código abierto.
+Alternativamente, el modelo y las amenazas pueden generarse como un archivo [PlantUML][plantuml] que luego puede mostrarse,
+usando Java y el archivo `.jar` de PlantUML, como un diagrama de secuencia.
+
+Si se requiere un documento de informe, un script de pytm puede generar el modelo,
+las amenazas y los hallazgos como markdown.
+Programas como [pandoc][pandoc] pueden tomar este archivo markdown despues
+y proporcionar el documento en varios formatos como PDF, ePub o html.
+
+La serie Spotlight de OWASP proporciona una visión general de pytm: 'Proyecto 6 - [OWASP pytm][spotlight06]'.
+
+#### ¿Por qué usar pytm?
+
+El equipo de desarrollo de pytm señala con razón que el modelado de amenazas tradicional a menudo llega demasiado tarde
+en el proceso de desarrollo, y a veces puede no ocurrir en absoluto.
+Además, crear flujos de datos manuales/diagramáticos e informes puede consumir muchísimo tiempo.
+Estas son ciertamente observaciones válidas,
+y por lo tanto pytm intenta que el modelado de amenazas "se desplace a la izquierda" en el ciclo de vida del desarrollo.
+
+Muchas herramientas tradicionales de modelado de amenazas como OWASP Threat Dragon proporcionan
+una forma gráfica de crear diagramas e introducir amenazas.
+Estas aplicaciones almacenan los modelos como texto, por ejemplo JSON y YAML,
+pero el método principal de entrada es a través de la aplicación.
+
+Pytm es diferente - el método principal para crear y actualizar los modelos de amenazas es a través de código.
+Este código fuente define completamente el modelo junto con sus hallazgos, amenazas y remediaciones.
+Los diagramas e informes se consideran salidas del modelo; no las entradas al modelo.
+Esto hace que pytm sea una herramienta poderosa para describir un sistema o aplicación,
+y permite que el modelo se continúe construyendo con el tiempo.
+
+Este enfoque en el modelo como código y salidas programáticas hace que Pytm
+sea particularmente útil en entornos automatizados,
+ayudando a que el modelo de amenazas se integre en el proceso de diseño desde el principio,
+así como en sesiones de modelado de amenazas más tradicionales.
+
+#### Cómo usar pytm
+
+La mejor descripción de cómo usar pytm se encuentra en el capítulo 4 del libro
+[Threat Modeling: a practical guide for development teams][TMchap4]
+que está escrito por dos de los principales colaboradores del proyecto pytm.
+
+Pytm está basado en código dentro de un entorno de programa, en lugar de ejecutarse como una aplicación única,
+por lo que hay varios componentes que deben instalarse en la máquina de destino para permitir que pytm se ejecute.
+Actualmente no funciona en Windows, solo en Linux o MacOS, por lo que si necesita ejecutar Windows, use una VM de Linux
+o siga las instrucciones para crear un contenedor Docker.
+
+Las siguientes herramientas y bibliotecas deben estar instaladas:
+
+* Python 3.x
+* Paquete [Graphviz][graphvizdot]
+* Java, como OpenJDK 10 u 11 (solamente para el uso del diagrama de secuencia)
+* El archivo JAR ejecutable de [PlantUML][plantumljar]
+* Y por supuesto pytm: clone el [repositorio del proyecto pytm][pytmrepo]
+
+Una vez instalado el entorno, navegue al directorio principal de su copia local del proyecto.
+
+Siga [el ejemplo][pytmexample] proporcionado por el repositorio del proyecto pytm y ejecuta los scripts sugeridos
+para generar el diagrama de flujo de datos, el diagrama de secuencia y el informe:
+
+```text
+mkdir -p tm
+./tm.py --report docs/basic_template.md | pandoc -f markdown -t html > tm/report.html
+./tm.py --dfd | dot -Tpng -o tm/dfd.png
+./tm.py --seq | java -Djava.awt.headless=true -jar $PLANTUML_PATH -tpng -pipe > tm/seq.png
+```
+
+#### Referencias
+
+* [Modelado de Amenazas Pythónico][pytmproject] (pytm) de OWASP
+* [Graphviz][graphviz]
+* [pandoc][pandoc]
+* [PlantUML][plantuml]
+* Repositorio [pytm][pytmrepo]
+* [Spotlight][spotlight06] sobre pytm
+* [Threat Modeling: una guía práctica para equipos de desarrollo][TMchap4]
+
+----
+
+Traducción de versión [original en inglés][en060102].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue060102] o [edítelo en GitHub][edit060102].
+
+[edit060102]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/01-threat-modeling/02-pytm.md
+[graphviz]: https://graphviz.org/
+[graphvizdot]: https://graphviz.org/download/
+[en060102]: https://devguide.owasp.org/en/04-design/01-threat-modeling/02-pytm/
+[issue060102]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/01-threat-modeling/02-pytm
+[pandoc]: https://pandoc.org/installing.html
+[plantuml]: https://plantuml.com/
+[plantumljar]: https://plantuml.com/download
+[pytmrepo]: https://github.com/OWASP/pytm/
+[pytmproject]: https://owasp.org/www-project-pytm/
+[pytmexample]: https://github.com/OWASP/pytm/blob/master/tm.py
+[pytmreleases]: https://github.com/OWASP/pytm/releases
+[spotlight06]: https://youtu.be/oTqkPaEbTnE
+[TMchap4]: https://www.oreilly.com/library/view/threat-modeling/9781492056546/ch04.html
diff --git a/docs/es/04-design/01-threat-modeling/03-threat-dragon.md b/docs/es/04-design/01-threat-modeling/03-threat-dragon.md
new file mode 100644
index 00000000..228f1c4a
--- /dev/null
+++ b/docs/es/04-design/01-threat-modeling/03-threat-dragon.md
@@ -0,0 +1,77 @@
+{ align=right width=180 }
+
+El proyecto [Threat Dragon][tdtm] de OWASP proporciona una herramienta diagramática para el modelado de amenazas
+de aplicaciones, APIs y sistemas de software.
+Es un Proyecto de Laboratorio OWASP con [varias versiones][tddownload] y está en desarrollo activo.
+
+#### ¿Qué es Threat Dragon?
+
+Threat Dragon es una herramienta que puede ayudar a los equipos de desarrollo con su proceso de modelado de amenazas.
+Permite crear y modificar diagramas de flujo de datos que proporcionan el
+contexto y dirección para las actividades de modelado de amenazas.
+También almacena los detalles de las amenazas identificadas durante las sesiones de modelado de amenazas,
+y éstas se guardan junto con el diagrama del modelo de amenazas en un archivo basado en texto.
+Threat Dragon también puede generar el diagrama del modelo de amenazas y las amenazas asociadas como un reporte PDF.
+
+#### ¿Por qué usarlo?
+
+Threat Dragon es una herramienta útil para equipos pequeños que desean crear modelos de amenazas rápida y fácilmente.
+Threat Dragon tiene como objetivos:
+
+* Simplicidad - puedes instalar y comenzar a usar Threat Dragon muy rápidamente
+* Flexibilidad - la diagramación y generación de amenazas permite describir todo tipo de amenazas
+* Accesibilidad - varios tipos diferentes de equipos pueden beneficiarse de la facilidad de uso de Threat Dragon
+
+Admite varias metodologías y categorizaciones de amenazas utilizadas durante las actividades de modelado de amenazas:
+
+* STRIDE
+* LINDDUN
+* PLOT4ai
+* CIA
+* DIE
+
+y puede ser utilizado por todo tipo de equipos de desarrollo.
+
+#### Cómo usarlo
+
+La serie Spotlight de OWASP proporciona una visión general de Threat Dragon y cómo usarlo:
+'Proyecto 22 - [OWASP Threat Dragon][spotlight22]'.
+
+Es sencillo comenzar a usar Threat Dragon; la última versión está [disponible para usar en línea][tddemo]:
+
+1. seleccione 'Conectarse con Sesión Local' (Iniciar sesión en sesión local)
+2. seleccione 'Crear un nuevo modelo de amenazas (threat model) desde cero' (Explorar un modelo de amenazas de ejemplo)
+3. seleccione 'Version 2 Demo Model' (Modelo de demostración versión 2)
+4. Se muestra los metadatos del modelo de amenazas que pueden ser editados
+5. haga clic en el diagrama 'Main Request Data Flow' (Flujo de datos de solicitud principal)
+ para mostrar el diagrama de flujo de datos
+6. los componentes del diagrama pueden ser inspeccionados, y se muestran sus amenazas asociadas
+7. los componentes pueden ser añadidos y eliminados, junto con la edición de sus propiedades
+
+Threat Dragon se distribuye como una aplicación de escritorio multiplataforma y como una aplicación web.
+La [aplicación de escritorio][tddownload] puede descargarse para Windows, Linux y MacOS.
+La aplicación web puede ejecutarse utilizando un [contenedor Docker][tddocker] o desde el [código fuente][tdcode].
+
+Una característica importante de Threat Dragon es la salida de informes en PDF que puede utilizarse para documentación
+y propósitos de cumplimiento GRC; desde la ventana de metadatos del modelo de amenazas, haga clic en el botón Reporte.
+
+#### Referencias
+
+* OWASP [Threat Dragon][tdtm]
+
+----
+
+Traducción de versión [original en inglés][en060103].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue060103] o [edítelo en GitHub][edit060103].
+
+[edit060103]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/01-threat-modeling/03-threat-dragon.md
+[en060103]: https://devguide.owasp.org/en/04-design/01-threat-modeling/03-threat-dragon/
+[issue060103]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/01-threat-modeling/03-threat-dragon
+[tddemo]: https://www.threatdragon.com/#/
+[tdcode]: https://github.com/OWASP/threat-dragon
+[tddocker]: https://hub.docker.com/r/owasp/threat-dragon/tags
+[tddownload]: https://github.com/OWASP/threat-dragon/releases
+[tdtm]: https://owasp.org/www-project-threat-dragon/
+[spotlight22]: https://youtu.be/hUOAoc6QGJo
diff --git a/docs/es/04-design/01-threat-modeling/04-cornucopia.md b/docs/es/04-design/01-threat-modeling/04-cornucopia.md
new file mode 100644
index 00000000..d57214b1
--- /dev/null
+++ b/docs/es/04-design/01-threat-modeling/04-cornucopia.md
@@ -0,0 +1,7 @@
+{ align=right width=180 }
+
+No hay traducción de esta página, consulte [versión original en inglés][en060104].
+
+----
+
+[en060104]: https://devguide.owasp.org/en/04-design/01-threat-modeling/04-cornucopia/
diff --git a/docs/es/04-design/01-threat-modeling/05-linddun-go.md b/docs/es/04-design/01-threat-modeling/05-linddun-go.md
new file mode 100644
index 00000000..b6b41128
--- /dev/null
+++ b/docs/es/04-design/01-threat-modeling/05-linddun-go.md
@@ -0,0 +1,7 @@
+{ align=right width=180 }
+
+No hay traducción de esta página, consulte [versión original en inglés][en060105].
+
+----
+
+[en060105]: https://devguide.owasp.org/en/04-design/01-threat-modeling/05-linddun-go/
diff --git a/docs/es/04-design/01-threat-modeling/06-toolkit.md b/docs/es/04-design/01-threat-modeling/06-toolkit.md
new file mode 100644
index 00000000..456bf4a7
--- /dev/null
+++ b/docs/es/04-design/01-threat-modeling/06-toolkit.md
@@ -0,0 +1,7 @@
+{ align=right width=180 }
+
+No hay traducción de esta página, consulte [versión original en inglés][release060106].
+
+----
+
+[release060106]: hhttps://devguide.owasp.org/04-design/01-threat-modeling/06-toolkit/
diff --git a/docs/es/04-design/01-threat-modeling/index.md b/docs/es/04-design/01-threat-modeling/index.md
new file mode 100644
index 00000000..2ec2c272
--- /dev/null
+++ b/docs/es/04-design/01-threat-modeling/index.md
@@ -0,0 +1,26 @@
+{ align=right width=180 }
+
+Según la [Hoja de Referencia de Modelado de Amenazas][cstm],
+el modelado de amenazas es un enfoque estructurado para identificar y priorizar amenazas potenciales a un sistema.
+El proceso de modelado de amenazas incluye determinar el valor que las posibles mitigaciones tendrían
+para reducir o neutralizar estas amenazas.
+
+Evaluar las amenazas potenciales durante la fase de diseño de su proyecto puede ahorrar recursos significativos
+si durante una fase posterior del proyecto se requiere refactorización para incluir mitigaciones de riesgos.
+Los resultados de las actividades de modelado de amenazas generalmente incluyen:
+
+* Documentar cómo fluyen los datos a través de un sistema para identificar dónde podría ser atacado
+* Identificar tantas amenazas potenciales al sistema como sea posible
+* Sugerir controles de seguridad que pueden implementarse para reducir la probabilidad o el impacto de una amenaza potencial
+
+---
+
+Traducción de versión [original en inglés][en0601].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0601] o [edítelo en GitHub][edit0601].
+
+[cstm]: https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet
+[edit0601]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/01-threat-modeling/index.md
+[en0601]: https://devguide.owasp.org/en/04-design/01-threat-modeling/
+[issue0601]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/01-threat-modeling/index
diff --git a/docs/es/04-design/02-web-app-checklist/01-define-security-requirements.md b/docs/es/04-design/02-web-app-checklist/01-define-security-requirements.md
new file mode 100644
index 00000000..4e0bb977
--- /dev/null
+++ b/docs/es/04-design/02-web-app-checklist/01-define-security-requirements.md
@@ -0,0 +1,77 @@
+Un requisito de seguridad es una declaración de funcionalidad de seguridad que garantiza
+que se está satisfaciendo la seguridad del software.
+Los requisitos de seguridad se derivan de estándares de la industria, leyes aplicables
+y un historial de vulnerabilidades pasadas.
+
+Consulte el control proactivo [C4: Abordar la Seguridad desde el Principio][control4]
+y sus [hojas de referencia][csproactive-c1]
+para más contexto del proyecto Top 10 Controles Proactivos de OWASP,
+y use las listas a continuación como sugerencias para una lista de verificación adaptada al proyecto individual.
+
+#### 1. Configuración del sistema
+
+1. Restringir aplicaciones, procesos y cuentas de servicio a los mínimos privilegios posibles
+2. Si la aplicación debe ejecutarse con privilegios elevados, elevar privilegios lo más tarde posible
+ y reducirlos tan pronto como sea posible
+3. Eliminar toda funcionalidad y archivos innecesarios
+4. Eliminar código de prueba o cualquier funcionalidad no destinada a producción, antes del despliegue
+5. El almacén de configuración de seguridad para la aplicación debe estar disponible
+ en formato legible para humanos para facilitar las auditorías
+6. Aislar los entornos de desarrollo de la producción y proporcionar acceso solo a grupos autorizados de desarrollo y prueba
+7. Implementar un sistema de control de cambios de software para gestionar
+ y registrar cambios en el código tanto en desarrollo como en producción
+
+#### 2. Prácticas criptográficas
+
+1. Utilizar módulos criptográficos de código abierto y revisados por pares
+2. Todas las funciones criptográficas utilizadas para proteger secretos del usuario
+ de la aplicación deben implementarse en un sistema confiable
+3. Los módulos criptográficos deben fallar de manera segura
+4. Asegurarse de que todos los elementos aleatorios como números, nombres de archivo,
+ UUID(identificador único universal) y cadenas se generan
+ utilizando el generador de números aleatorios aprobado del módulo criptográfico
+5. Los módulos criptográficos utilizados por la aplicación cumplen con FIPS 140-2 o un estándar equivalente
+6. Establecer y utilizar una política y proceso para la gestión de claves criptográficas
+7. Asegurar que cualquier clave secreta esté protegida contra acceso no autorizado
+8. Almacenar claves en una bóveda de secretos adecuada como se describe a continuación
+9. Utilizar claves independientes cuando se requieren múltiples claves
+10. Crear soporte para cambiar algoritmos y claves cuando sea necesario
+11. Construir características de la aplicación para manejar una rotación de claves
+
+#### 3. Gestión de archivos
+
+1. No pasar datos suministrados por el usuario directamente a ninguna función de inclusión dinámica
+2. Requerir autenticación antes de permitir la carga de un archivo
+3. Limitar el tipo de archivos que se pueden cargar solo a aquellos tipos que son necesarios para fines del negocio
+4. Validar que los archivos cargados son del tipo esperado comprobando las cabeceras de archivo en lugar de la extensión
+5. No guardar archivos en el mismo contexto web de la aplicación
+6. Prevenir o restringir la carga de cualquier archivo que pueda ser interpretado por el servidor web
+7. Desactivar los privilegios de ejecución en los directorios de carga de archivos
+8. Al hacer referencia a archivos existentes, utilizar una lista blanca de nombres y tipos de archivos permitidos
+9. No pasar datos suministrados por el usuario a una redirección dinámica
+10. No pasar rutas de directorio o archivo, utilizar valores de índice mapeados a una lista predefinida de rutas
+11. Nunca enviar la ruta absoluta del archivo al cliente
+12. Asegurar que los archivos y recursos de la aplicación sean de solo lectura
+13. Escanear los archivos cargados por usuarios en busca de virus y malware
+
+#### Referencias
+
+* [Estándar de Verificación de Seguridad de Aplicaciones][asvs] (ASVS) de OWASP
+* [Seguridad de Aplicaciones Móviles][mas] de OWASP
+* [Top 10 Controles Proactivos][proactive10] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en060201].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse
+entonces [cree un issue][issue060201] o [edítelo en GitHub][edit060201].
+
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[csproactive-c1]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c1-define-security-requirements
+[control4]: https://top10proactive.owasp.org/the-top-10/c4-secure-architecture/
+[edit060201]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/02-web-app-checklist/01-define-security-requirements.md
+[en060201]: https://devguide.owasp.org/en/04-design/02-web-app-checklist/01-define-security-requirements/
+[issue060201]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/01-define-security-requirements
+[mas]: https://mas.owasp.org/
+[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/es/04-design/02-web-app-checklist/02-frameworks-libraries.md b/docs/es/04-design/02-web-app-checklist/02-frameworks-libraries.md
new file mode 100644
index 00000000..46a56ce7
--- /dev/null
+++ b/docs/es/04-design/02-web-app-checklist/02-frameworks-libraries.md
@@ -0,0 +1,95 @@
+Las bibliotecas de código seguro y los marcos de software con seguridad integrada ayudan
+a los desarrolladores a protegerse contra fallos de diseño e implementación relacionados con la seguridad.
+
+Consulte el control proactivo [C4: Abordar la Seguridad desde el Principio][control4]
+y sus [hojas de referencia][csproactive-c2] para más contexto del proyecto Top 10 Controles Proactivos de OWASP.
+
+Para listas de verificación específicas de tecnología, consulte las Hojas de Referencia de OWASP apropiadas:
+
+* [Seguridad AJAX][csajax]
+* [Fortalecimiento de seguridad de la cadena de herramientas basada en C][cscbased]
+* [Seguridad Django][csdjango]
+* [Django REST framework][csdjangorest]
+* [Seguridad Docker][csdocker]
+* [Seguridad DotNet][csdotnet]
+* [Seguridad GraphQL][csgraphql]
+* [Infraestructura como Código][csias]
+* [Seguridad Java][csjava]
+* [Gestión de Javascript][csjcavascript]
+* [Kubernetes][cskube]
+* [Seguridad Laravel][cslaravel]
+* [Seguridad de Microservicios][csmicro]
+* [Mejores prácticas de seguridad NPM][csnpm]
+* [Seguridad Node.js][csnode]
+* [Seguridad Node.js para Docker][csnodedocker]
+* [Configuración PHP][csphp]
+* [APIs REST][csrest] y [cómo evaluarlas][csrassess]
+* [Seguridad Ruby on Rails][csruby]
+* [Framework Symfony][cssymfony]
+* [Servicios Web][cswebservice]
+* [Seguridad XML][csxml]
+
+y utilícelas como punto de partida para una lista de verificación adaptada a la tecnología utilizada por el proyecto.
+
+Además, considere las siguientes comprobaciones adicionales para marcos y bibliotecas.
+
+### Marcos y Bibliotecas de Seguridad
+
+1. Asegurar que los servidores, marcos y componentes del sistema ejecuten las últimas versiones y parches aprobados
+2. Utilizar bibliotecas y marcos de fuentes confiables que se mantengan activamente y sean ampliamente utilizados
+3. Revisar todas las aplicaciones secundarias y bibliotecas de terceros para determinar la necesidad empresarial
+4. Validar la funcionalidad segura de todas las aplicaciones secundarias y bibliotecas de terceros
+5. Crear y mantener un catálogo de inventario de todas las bibliotecas de terceros utilizando
+ Análisis de Composición de Software (SCA)
+6. Mantener proactivamente actualizadas todas las bibliotecas y componentes de terceros
+7. Reducir la superficie de ataque encapsulando la biblioteca y exponiendo solo el comportamiento requerido en su software
+8. Utilizar código administrado testeado y aprobado en lugar de crear nuevo código no administrado para tareas comunes
+9. Utilizar APIs específicas para tareas integradas para realizar tareas del sistema operativo
+10. No permitir que la aplicación emita comandos directamente al Sistema Operativo
+11. Utilizar sumas de verificación o hashes para verificar la integridad del código interpretado,
+ bibliotecas, ejecutables y archivos de configuración
+12. Restringir a los usuarios la generación de nuevo código o la alteración del código existente
+13. Implementar actualizaciones seguras utilizando canales cifrados
+
+#### Referencias
+
+* [Dependency Check][dependency] de OWASP
+* [Top 10 Controles Proactivos][proactive10] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en060202].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse
+entonces [envía un issue][issue060202] o [edita en GitHub][edit060202].
+
+[csajax]: https://cheatsheetseries.owasp.org/cheatsheets/AJAX_Security_Cheat_Sheet
+[cscbased]: https://cheatsheetseries.owasp.org/cheatsheets/C-Based_Toolchain_Hardening_Cheat_Sheet
+[csdjango]: https://cheatsheetseries.owasp.org/cheatsheets/Django_Security_Cheat_Sheet
+[csdjangorest]: https://cheatsheetseries.owasp.org/cheatsheets/Django_REST_Framework_Cheat_Sheet
+[csdocker]: https://cheatsheetseries.owasp.org/cheatsheets/Docker_Security_Cheat_Sheet
+[csdotnet]: https://cheatsheetseries.owasp.org/cheatsheets/DotNet_Security_Cheat_Sheet
+[csgraphql]: https://cheatsheetseries.owasp.org/cheatsheets/GraphQL_Cheat_Sheet
+[csias]: https://cheatsheetseries.owasp.org/cheatsheets/Infrastructure_as_Code_Security_Cheat_Sheet
+[csjava]: https://cheatsheetseries.owasp.org/cheatsheets/Java_Security_Cheat_Sheet
+[csjcavascript]: https://cheatsheetseries.owasp.org/cheatsheets/Third_Party_Javascript_Management_Cheat_Sheet
+[cskube]: https://cheatsheetseries.owasp.org/cheatsheets/Kubernetes_Security_Cheat_Sheet
+[cslaravel]: https://cheatsheetseries.owasp.org/cheatsheets/Laravel_Cheat_Sheet
+[csmicro]: https://cheatsheetseries.owasp.org/cheatsheets/Microservices_Security_Cheat_Sheet
+[csnpm]: https://cheatsheetseries.owasp.org/cheatsheets/NPM_Security_Cheat_Sheet
+[csnode]: https://cheatsheetseries.owasp.org/cheatsheets/Nodejs_Security_Cheat_Sheet
+[csnodedocker]: https://cheatsheetseries.owasp.org/cheatsheets/NodeJS_Docker_Cheat_Sheet
+[csphp]: https://cheatsheetseries.owasp.org/cheatsheets/PHP_Configuration_Cheat_Sheet
+[csrest]: https://cheatsheetseries.owasp.org/cheatsheets/REST_Security_Cheat_Sheet
+[csrassess]: https://cheatsheetseries.owasp.org/cheatsheets/REST_Assessment_Cheat_Sheet.html
+[csruby]: https://cheatsheetseries.owasp.org/cheatsheets/Ruby_on_Rails_Cheat_Sheet
+[cssymfony]: https://cheatsheetseries.owasp.org/cheatsheets/Symfony_Cheat_Sheet
+[cswebservice]: https://cheatsheetseries.owasp.org/cheatsheets/Web_Service_Security_Cheat_Sheet
+[csxml]: https://cheatsheetseries.owasp.org/cheatsheets/XML_Security_Cheat_Sheet
+[csproactive-c2]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c2-leverage-security-frameworks-and-libraries
+[control4]: https://top10proactive.owasp.org/the-top-10/c4-secure-architecture/
+[dependency]: https://owasp.org/www-project-dependency-check/
+[edit060202]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/02-web-app-checklist/02-frameworks-libraries.md
+[en060202]: https://devguide.owasp.org/en/04-design/02-web-app-checklist/02-frameworks-libraries/
+[issue060202]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/02-frameworks-libraries
+[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/es/04-design/02-web-app-checklist/03-secure-database-access.md b/docs/es/04-design/02-web-app-checklist/03-secure-database-access.md
new file mode 100644
index 00000000..0e8aca9a
--- /dev/null
+++ b/docs/es/04-design/02-web-app-checklist/03-secure-database-access.md
@@ -0,0 +1,60 @@
+Asegure que el acceso a todos los almacenes de datos sea seguro,
+incluyendo tanto bases de datos relacionales como bases de datos NoSQL.
+
+Consulte el control proactivo [C3: Validar todas las Entradas y Manejar Excepciones][control3]
+y sus [hojas de referencia][csproactive-c3]
+para más contexto sobre el proyecto Top 10 Controles Proactivos de OWASP,
+y use la lista a continuación como sugerencias para una lista de comprobación adaptada al proyecto individual.
+
+#### 1. Consultas seguras
+
+1. Utilizar Parametrización de Consultas para evitar que entradas no confiables sean interpretadas
+ como parte de un comando SQL
+2. Utilizar consultas parametrizadas fuertemente tipadas
+3. Utilizar validación de entrada y codificación de salida, asegurándose de encargarse de los meta caracteres
+4. No ejecutar el comando de base de datos si la validación de entrada falla
+5. Asegurar que las variables estén fuertemente tipadas
+6. Las cadenas de conexión no deben estar codificadas de forma fija dentro de la aplicación
+7. Las cadenas de conexión deben almacenarse en un archivo de configuración separado en un sistema confiable
+ y deben estar cifradas
+
+#### 2. Configuración segura
+
+1. La aplicación debe usar el nivel más bajo posible de privilegios al acceder a la base de datos
+2. Utilizar procedimientos almacenados para abstraer el acceso a datos y permitir la eliminación de permisos
+ a las tablas base en la base de datos
+3. Cerrar la conexión de la base de datos tan pronto como sea posible
+4. Desactivar toda funcionalidad innecesaria de la base de datos
+5. Eliminar contenido predeterminado innecesario del proveedor, por ejemplo esquemas de muestra
+6. Deshabilitar cualquier cuenta predeterminada que no sea necesaria para soportar los requisitos del negocio
+
+#### 3. Autenticación segura
+
+1. Eliminar o cambiar todas las contraseñas administrativas predeterminadas de la base de datos
+2. La aplicación debe conectarse a la base de datos con credenciales diferentes para cada nivel de confianza
+ (por ejemplo, usuario, usuario de solo lectura, invitado, administradores)
+3. Utilizar credenciales seguras para el acceso a la base de datos
+
+#### Referencias
+
+* [Hoja de Referencia: Parametrización de Consultas][csquery] de OWASP
+* [Hoja de Referencia: Seguridad de Bases de Datos][csdb]de OWASP
+* [Top 10 Controles Proactivos][proactive10] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en060203].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse
+entonces [cree un issue][issue060203] o [edítelo en GitHub][edit060203].
+
+[csproactive-c3]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c3-secure-database-access
+[control3]: https://top10proactive.owasp.org/the-top-10/c3-validate-input-and-handle-exceptions/
+[csdb]: https://cheatsheetseries.owasp.org/cheatsheets/Database_Security_Cheat_Sheet
+[csquery]: https://cheatsheetseries.owasp.org/cheatsheets/Query_Parameterization_Cheat_Sheet
+[edit060203]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/02-web-app-checklist/03-secure-database-access.md
+[en060203]: https://devguide.owasp.org/en/04-design/02-web-app-checklist/03-secure-database-access/
+[issue060203]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/03-secure-database-access
+[proactive10]: https://top10proactive.owasp.org/
+
+\newpage
diff --git a/docs/es/04-design/02-web-app-checklist/04-encode-escape-data.md b/docs/es/04-design/02-web-app-checklist/04-encode-escape-data.md
new file mode 100644
index 00000000..b734186d
--- /dev/null
+++ b/docs/es/04-design/02-web-app-checklist/04-encode-escape-data.md
@@ -0,0 +1,52 @@
+La codificación y el escapado de datos de salida son técnicas defensivas destinadas a detener ataques de inyección
+en un sistema o aplicación objetivo que está recibiendo los datos de salida.
+
+El sistema objetivo puede ser otro componente de software o puede reflejarse de nuevo en el sistema inicial,
+como comandos del sistema operativo,
+por lo que codificar y escapar datos de salida ayuda a proporcionar defensa en profundidad para el sistema en su conjunto.
+
+Consulte el control proactivo [C3: Validar todas las Entradas y Manejar Excepciones][control3]
+y sus [hojas de referencia][csproactive-c4]
+para más contexto del proyecto OWASP Top 10 Controles Proactivos,
+y use la lista a continuación como sugerencias para una lista de comprobación adaptada al proyecto individual.
+
+#### 1. Codificación de caracteres y canonicalización
+
+1. Aplicar codificación a la salida justo antes de que el contenido sea pasado al sistema objetivo
+2. Realizar toda la codificación de salida en un sistema confiable
+3. Utilizar una rutina estándar y probada para cada tipo de codificación de salida
+4. Especificar conjuntos de caracteres, como UTF-8, para todas las salidas
+5. Aplicar canonicalización para convertir datos unicode en una forma estándar
+6. Asegurar que la codificación de salida sea segura para todos los sistemas objetivo
+7. En particular, desinfectar todas las salidas utilizadas para comandos del sistema operativo
+
+#### 2. Codificación contextual de salida
+
+La codificación contextual de salida de datos se basa en cómo será utilizada por el objetivo.
+Los métodos específicos varían dependiendo de la forma en que se utilizan los datos de salida,
+como la codificación de entidades HTML.
+
+1. Codificar contextualmente todos los datos devueltos al cliente desde fuentes no confiables
+2. Codificar contextualmente toda la salida de datos no confiables en consultas para SQL, XML y LDAP
+
+#### Referencias
+
+* [Hoja de Referencia: Prevención de Inyección][ipcs] de OWASP
+* [Proyecto Java Encoder][encoder] de OWASP
+* [Top 10 Controles Proactivos][proactive10] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en060204].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse
+entonces [cree un issue][issue060204] o [edítelo en GitHub][edit060204].
+
+[csproactive-c4]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c4-encode-and-escape-data
+[control3]: https://top10proactive.owasp.org/the-top-10/c3-validate-input-and-handle-exceptions/
+[edit060204]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/02-web-app-checklist/04-encode-escape-data.md
+[encoder]: https://www.owasp.org/index.php/OWASP_Java_Encoder_Project
+[ipcs]: https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet
+[en060204]: https://devguide.owasp.org/en/04-design/02-web-app-checklist/04-encode-escape-data/
+[issue060204]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/04-encode-escape-data
+[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/es/04-design/02-web-app-checklist/05-validate-inputs.md b/docs/es/04-design/02-web-app-checklist/05-validate-inputs.md
new file mode 100644
index 00000000..e7ec1a5b
--- /dev/null
+++ b/docs/es/04-design/02-web-app-checklist/05-validate-inputs.md
@@ -0,0 +1,68 @@
+La validación de entradas es una colección de técnicas que aseguran que solo los datos con formato adecuado
+puedan ingresar a una aplicación de software o componente del sistema.
+
+Es vital que se realice la validación de entradas para proporcionar el punto de partida para una aplicación
+o sistema seguro.
+Sin validación de entradas, la aplicación/sistema de software seguirá siendo vulnerable a ataques nuevos y variados.
+
+Consulte el control proactivo [C3: Validar Todas las Entradas y Manejar Excepciones][control3]
+y sus [hojas de referencia][csproactive-c5]
+para más contexto del proyecto Top 10 Controles Proactivos de OWASP,
+y use la lista a continuación como sugerencias para una lista de verificación adaptada al proyecto individual.
+
+#### 1. Validez sintáctica y semántica
+
+1. Identificar todas las fuentes de datos y clasificarlas en confiables y no confiables
+2. Validar todos los datos de entrada de fuentes no confiables, como datos proporcionados por el cliente
+3. Codificar la entrada a un conjunto de caracteres común antes de validar
+4. Especificar conjuntos de caracteres, como UTF-8, para todas las fuentes de entrada
+5. Si el sistema admite conjuntos de caracteres extendidos UTF-8, validar después de completar la decodificación UTF-8
+6. Verificar que los valores de encabezado del protocolo en solicitudes y respuestas contengan solo caracteres ASCII
+7. Validar datos de redirecciones
+8. Validar el rango de datos y también la longitud de datos
+9. Utilizar la canonicalización para tratar con ataques de ofuscación
+10. Todos los fallos de validación deben resultar en el rechazo de la entrada
+
+#### 2. Bibliotecas y frameworks
+
+1. Realizar toda la validación de entrada en un sistema confiable [^SCP1]
+2. Usar una biblioteca o framework de validación de entrada centralizado para toda la aplicación
+3. Si la rutina de validación estándar no puede hacerse cargo de algunas entradas, use verificaciones discretas adicionales
+4. Si cualquier entrada potencialmente peligrosa _debe_ permitirse, implemente controles adicionales
+5. Validar para los tipos de datos esperados utilizando una lista de permitidos en lugar de una lista de denegados
+
+#### 3. Validar datos serializados
+
+1. Implementar verificaciones de integridad o cifrado de los objetos serializados
+ para prevenir la creación de objetos hostiles o la manipulación de datos
+2. Aplicar restricciones estrictas de tipo durante la deserialización antes de la creación de objetos;
+ típicamente se espera un conjunto definible de clases
+3. Aislar las funciones que hacen deserialización para que se ejecuten en entornos de muy bajo privilegio,
+ como contenedores temporales
+4. Registrar excepciones y fallos de deserialización de seguridad
+5. Restringir o monitorear la conectividad de red entrante y saliente de contenedores o servidores que deserializan
+6. Monitorear la deserialización, por ejemplo, alertando si un agente de usuario deserializa constantemente
+
+#### Referencias
+
+* [Hoja de Referencia: Validación de Entrada][ivcs] de OWASP
+* [Proyecto Java HTML Sanitizer][sanitizer] de OWASP
+* [Top 10 Controles Proactivos][proactive10] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en060205].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiar,
+entonces [cree un issue][issue060205] o [edítelo en GitHub][edit060205].
+
+[^SCP1]: Lista de verificación de prácticas de codificación segura
+
+[csproactive-c5]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c5-validate-all-inputs
+[control3]: https://top10proactive.owasp.org/the-top-10/c3-validate-input-and-handle-exceptions/
+[ivcs]: https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet
+[edit060205]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/02-web-app-checklist/05-validate-inputs.md
+[en060205]: https://devguide.owasp.org/en/04-design/02-web-app-checklist/05-validate-inputs/
+[issue060205]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/05-validate-inputs
+[proactive10]: https://top10proactive.owasp.org
+[sanitizer]: https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer
diff --git a/docs/es/04-design/02-web-app-checklist/06-digital-identity.md b/docs/es/04-design/02-web-app-checklist/06-digital-identity.md
new file mode 100644
index 00000000..480e8f0b
--- /dev/null
+++ b/docs/es/04-design/02-web-app-checklist/06-digital-identity.md
@@ -0,0 +1,116 @@
+La [autenticación][csauthn] es el proceso de verificar que un individuo o entidad es quien dice ser.
+La gestión de sesiones es un proceso mediante el cual un servidor mantiene el estado de la autenticación de los usuarios
+para que el usuario pueda continuar utilizando el sistema sin tener que volver a autenticarse.
+
+Consulte el control proactivo [C7: Implementar Identidad Digital][control7] y sus [hojas de referencia][csproactive-c6]
+para obtener más contexto del proyecto OWASP Top 10 Controles Proactivos,
+y utilice la lista a continuación como sugerencias para una lista de verificación adaptada para el proyecto individual.
+
+#### 1. Autenticación
+
+1. Diseñar a fondo la autenticación del control de acceso desde el principio
+2. Forzar que todas las solicitudes pasen por controles de acceso a menos que sean públicas
+3. No codificar de forma fija (hard code) controles de acceso basados en roles
+4. Registrar todos los eventos de control de acceso
+5. Utilizar [Autenticación Multi-Factor][csmfa] (MFA) para cuentas transaccionales sensibles o de alto valor
+
+#### 2. Contraseñas
+
+1. Requerir autenticación para todas las páginas y recursos, excepto aquellos específicamente destinados a ser públicos
+2. Todos los controles de autenticación deben aplicarse en un sistema confiable
+3. Establecer y utilizar servicios de autenticación estándar y probados siempre que sea posible
+4. Utilizar una implementación centralizada para todos los controles de autenticación
+5. Segregar la lógica de autenticación del recurso solicitado y
+ utilizar redirección hacia y desde el control de autenticación centralizado
+6. Todos los controles de autenticación deben fallar de manera segura
+7. La administración y gestión de cuentas debe ser al menos tan segura como el mecanismo de autenticación principal
+8. Si su aplicación gestiona un almacén de credenciales, utilice hashes unidireccionales criptográficamente
+ fuertes con un salt
+9. El hash de contraseñas debe implementarse en un sistema confiable
+10. Validar los datos de autenticación solo al completar toda la entrada de datos
+11. Las respuestas de fallo de autenticación no deben indicar qué parte de los datos de autenticación fue incorrecta
+12. Utilizar autenticación para conexiones a sistemas externos que involucren información o funciones confidenciales
+13. Las credenciales de autenticación para acceder a servicios externos a la aplicación deben almacenarse
+ en un almacén seguro
+14. Utilizar solo solicitudes HTTP POST para transmitir credenciales de autenticación
+15. Enviar contraseñas no temporales solo a través de una conexión cifrada o como datos cifrados
+16. Aplicar requisitos de complejidad y longitud de contraseña establecidos por políticas o regulaciones
+17. Aplicar la desactivación de cuentas después de un número establecido de intentos de inicio de sesión no válidos
+18. Las operaciones de restablecimiento y cambio de contraseña requieren el mismo nivel de controles
+ que la creación de cuentas y la autenticación
+19. Las preguntas de restablecimiento de contraseña están en desuso,
+ consulte [Hoja de Referencia sobre Elegir y Usar Preguntas de Seguridad][csquestions] para saber por qué
+20. Si utiliza restablecimientos basados en correo electrónico, envíe correo electrónico solo
+ a una dirección preregistrada con un enlace/contraseña temporal
+21. Las contraseñas y enlaces temporales deben tener un tiempo de caducidad corto
+22. Aplicar el cambio de contraseñas temporales en el próximo uso
+23. Notificar a los usuarios cuando ocurre un restablecimiento de contraseña
+24. Prevenir la reutilización de contraseñas
+25. El último uso (exitoso o no exitoso) de una cuenta de usuario debe informarse al usuario
+ en su próximo inicio de sesión exitoso
+26. Cambiar todas las contraseñas e ID de usuario predeterminados proporcionados
+ por el proveedor o deshabilitar las cuentas asociadas
+27. Volver a autenticar a los usuarios antes de realizar operaciones críticas
+28. Si utiliza código de terceros para la autenticación, inspeccione el código cuidadosamente
+ para asegurarse de que no esté afectado por ningún código malicioso
+
+#### 3. Autenticación basada en criptografía
+
+1. Utilizar los controles de gestión de sesiones del servidor o del framework
+2. La creación de identificadores de sesión siempre debe realizarse en un sistema confiable
+3. Los controles de gestión de sesiones deben utilizar algoritmos cuidadosamente probados que
+ garanticen identificadores de sesión suficientemente aleatorios
+4. Establecer el dominio y la ruta para las cookies que contienen identificadores de sesión autenticados
+ a un valor apropiadamente restringido para el sitio
+5. La funcionalidad de cierre de sesión debe terminar completamente la sesión o conexión asociada
+6. La funcionalidad de cierre de sesión debe estar disponible en todas las páginas protegidas por autorización
+7. Establecer un tiempo de espera de inactividad de sesión que sea lo más corto posible,
+ basado en equilibrar el riesgo y los requisitos funcionales del negocio
+8. No permitir inicios de sesión persistentes y aplicar terminaciones periódicas de sesión,
+ incluso cuando la sesión está activa
+9. Si se estableció una sesión antes del inicio de sesión, cierre esa sesión
+ y establezca una nueva después de un inicio de sesión exitoso
+10. Genere un nuevo identificador de sesión en cualquier reautenticación
+11. No permitir inicios de sesión concurrentes con el mismo ID de usuario
+12. No exponer identificadores de sesión en URLs, mensajes de error o registros
+13. Implementar controles de acceso apropiados para proteger los datos de sesión del lado del servidor
+ de acceso no autorizado por parte de otros usuarios del servidor
+14. Generar periódicamente un nuevo identificador de sesión y desactivar el antiguo
+15. Generar un nuevo identificador de sesión si la seguridad de la conexión cambia de HTTP a HTTPS,
+ como puede ocurrir durante la autenticación
+16. Establecer el atributo `secure` para las cookies transmitidas a través de una conexión [TLS][tls]
+17. Establecer cookies con el atributo `HttpOnly`,
+ a menos que específicamente requiera scripts del lado del cliente dentro de su aplicación
+ para leer o establecer un valor de cookie
+
+#### Referencias
+
+* [Hoja de Referencia: Autenticación][csauthn] de OWASP
+* [Hoja de Referencia: Autenticación][csauthn] de OWASP
+* [Hoja de Referencia: Elegir y Usar Preguntas de Seguridad][csquestions] de OWASP
+* [Hoja de Referencia: Contraseña Olvidada][csforgot] de OWASP
+* [Hoja de Referencia: Autenticación Multifactor][csmfa] de OWASP
+* [Hoja de Referencia: Almacenamiento de Contraseñas][cspass] de OWASP
+* [Hoja de Referencia: Gestión de Sesiones][cssession] de OWASP
+* [Top 10 Controles Proactivos][proactive10] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en060206].
+
+La Guía para Desarrolladores OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue060206] o [edítelo en GitHub][edit060206].
+
+[csproactive-c6]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c6-implement-digital-identity
+[control7]: https://top10proactive.owasp.org/the-top-10/c7-secure-digital-identities/
+[csauthn]: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet
+[csmfa]: https://cheatsheetseries.owasp.org/cheatsheets/Multifactor_Authentication_Cheat_Sheet
+[cspass]: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet
+[csforgot]: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet
+[cssession]: https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet
+[csquestions]: https://cheatsheetseries.owasp.org/cheatsheets/Choosing_and_Using_Security_Questions_Cheat_Sheet
+[edit060206]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/02-web-app-checklist/06-digital-identity.md
+[en060206]: https://devguide.owasp.org/en/04-design/02-web-app-checklist/06-digital-identity/
+[issue060206]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/06-digital-identity
+[proactive10]: https://top10proactive.owasp.org
+[tls]: https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Security_Cheat_Sheet
diff --git a/docs/es/04-design/02-web-app-checklist/07-access-controls.md b/docs/es/04-design/02-web-app-checklist/07-access-controls.md
new file mode 100644
index 00000000..969bd8ae
--- /dev/null
+++ b/docs/es/04-design/02-web-app-checklist/07-access-controls.md
@@ -0,0 +1,48 @@
+El Control de Acceso o [Autorización][csauthz] es el proceso de conceder o denegar solicitudes específicas
+de un usuario, programa o proceso.
+
+Consulte el control proactivo [C1: Implementar Controles de Acceso][control1] y sus [hojas de referencia][csproactive-c7]
+para obtener más contexto del proyecto OWASP Top 10 Controles Proactivos,
+y utilice la lista a continuación como sugerencias para una lista de verificación adaptada para el proyecto individual.
+
+#### 1. Autorización
+
+1. Diseñar el control de acceso / autorización a fondo desde el principio
+2. Forzar que todas las solicitudes pasen por verificaciones de control de acceso a menos que sean públicas
+3. Denegar por defecto; si una solicitud no está específicamente permitida, entonces es denegada
+4. Aplicar el privilegio mínimo, proporcionando el menor acceso que sea necesario
+5. Registrar todos los eventos de autorización
+
+#### 2. Control de acceso
+
+1. Obligar al uso de controles de autorización en cada solicitud
+2. Utilizar solo objetos de sistema confiables para tomar decisiones de autorización de acceso
+3. Utilizar un único componente para todo el sitio para verificar la autorización de acceso
+4. Los controles de acceso deben fallar de manera segura
+5. Denegar todo acceso si la aplicación no puede acceder a su información de configuración de seguridad
+6. Segregar la lógica privilegiada del resto del código de la aplicación
+7. Limitar el número de transacciones que un solo usuario o dispositivo puede realizar en un período de tiempo determinado,
+ lo suficientemente bajo para disuadir ataques automatizados pero por encima del requisito real del negocio
+8. Si se permiten sesiones autenticadas largas, revalidar periódicamente la autorización de un usuario
+9. Implementar auditoría de cuentas y hacer obligatoria la desactivación de cuentas no utilizadas
+10. La aplicación debe admitir la terminación de sesiones cuando cese la autorización
+
+#### Referencias
+
+* [Hoja de Referencia: Autorización][csauthz] de OWASP
+* [Top 10 Controles Proactivos][proactive10] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en060207].
+
+La Guía para Desarrolladores OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue060207] o [edítelo en GitHub][edit060207].
+
+[csproactive-c7]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c7-enforce-access-controls
+[control1]: https://top10proactive.owasp.org/the-top-10/c1-accesscontrol/
+[csauthz]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet
+[edit060207]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/02-web-app-checklist/07-access-controls.md
+[en060207]: https://devguide.owasp.org/en/04-design/02-web-app-checklist/07-access-controls/
+[issue060207]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/07-access-controls
+[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/es/04-design/02-web-app-checklist/08-protect-data.md b/docs/es/04-design/02-web-app-checklist/08-protect-data.md
new file mode 100644
index 00000000..9112d0ee
--- /dev/null
+++ b/docs/es/04-design/02-web-app-checklist/08-protect-data.md
@@ -0,0 +1,59 @@
+Los datos sensibles como contraseñas, números de tarjetas de crédito, registros médicos,
+información personal y secretos comerciales requieren protección adicional, particularmente si esos datos están
+sujetos a leyes de privacidad (Reglamento General de Protección de Datos de la UE, GDPR),
+reglas de protección de datos financieros como el
+Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) u otras regulaciones.
+
+Consulte el control proactivo [C2: Usar la Criptografía de manera adecuada][control2]
+y sus [hojas de referencia][csproactive-c8]
+para obtener más contexto del proyecto OWASP Top 10 Controles Proactivos,
+y utilice la lista a continuación como sugerencias para una lista de verificación adaptada para el proyecto individual.
+
+#### 1. Protección de datos
+
+1. Clasificar los datos según el nivel de sensibilidad
+2. Implementar controles de acceso apropiados para datos sensibles
+3. Cifrar datos en tránsito
+4. Asegurar que los canales de comunicación seguros estén configurados correctamente
+5. Evitar almacenar datos sensibles cuando sea posible
+6. Asegurar que los datos sensibles en reposo estén protegidos criptográficamente para evitar divulgación
+ y modificación no autorizada
+7. Eliminar datos sensibles cuando ya no sean necesarios
+8. Almacenar secretos a nivel de aplicación en una bóveda de secretos
+9. Verificar que los secretos no estén almacenados en código, archivos de configuración o variables de entorno
+10. Implementar el privilegio mínimo, restringiendo el acceso a funcionalidades, datos e información del sistema
+11. Proteger todas las copias en caché o temporales de datos sensibles contra acceso no autorizado
+12. Eliminar esas copias temporales de datos sensibles tan pronto como ya no sean necesarias
+
+#### 2. Gestión de memoria
+
+1. Inicializar explícitamente todas las variables y almacenes de datos
+2. Verificar que los búferes sean tan grandes como se especifica
+3. Comprobar los límites del búfer si se llama a la función en un bucle y proteger contra desbordamientos
+4. Cerrar específicamente los recursos, no depender del recolector de basura
+5. Usar pilas no ejecutables cuando estén disponibles
+6. Liberar correctamente la memoria asignada al completar las funciones y en todos los puntos de salida
+7. Sobrescribir cualquier información sensible almacenada en la memoria asignada en todos los puntos de salida de la función
+8. Proteger las variables y recursos compartidos contra el acceso concurrente inapropiado
+
+#### Referencias
+
+* [Hoja de Referencia: Almacenamiento Criptográfico][cscs] de OWASP
+* [Hoja de Referencia: Gestión de Secretos][cssm] de OWASP
+* [Top 10 Controles Proactivos][proactive10] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en060208].
+
+La Guía para Desarrolladores OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue060208] o [edítelo en GitHub][edit060208].
+
+[csproactive-c8]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c8-protect-data-everywhere
+[control2]: https://top10proactive.owasp.org/the-top-10/c2-crypto/
+[cscs]: https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet
+[cssm]: https://cheatsheetseries.owasp.org/cheatsheets/Secrets_Management_Cheat_Sheet
+[edit060208]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/02-web-app-checklist/08-protect-data.md
+[en060208]: https://devguide.owasp.org/en/04-design/02-web-app-checklist/08-protect-data/
+[issue060208]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/08-protect-data
+[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/es/04-design/02-web-app-checklist/09-logging-monitoring.md b/docs/es/04-design/02-web-app-checklist/09-logging-monitoring.md
new file mode 100644
index 00000000..a8ccbdb7
--- /dev/null
+++ b/docs/es/04-design/02-web-app-checklist/09-logging-monitoring.md
@@ -0,0 +1,53 @@
+El registro es la grabación de información de seguridad durante la operación en tiempo de ejecución de una aplicación.
+El monitoreo es la revisión en vivo de los registros de aplicaciones y seguridad utilizando varias formas de automatización.
+
+Consulte el control proactivo [C9: Implementar Registro y Monitoreo de Seguridad][control9]
+y sus [hojas de referencia][csproactive-c9] para obtener más contexto del proyecto OWASP Top 10 Controles Proactivos,
+y utilice la lista a continuación como sugerencias para una lista de verificación adaptada para el proyecto individual.
+
+#### 1. Registro de seguridad
+
+1. Registrar datos enviados que estén fuera de un rango numérico esperado.
+2. Registrar datos enviados que impliquen cambios en datos que no deberían ser modificables
+3. Registrar solicitudes que violen las reglas de control de acceso del lado del servidor
+4. Codificar y validar cualquier carácter peligroso antes de registrar para prevenir ataques de inyección en registros
+5. No registrar información sensible
+6. Los controles de registro deben admitir tanto el éxito como el fracaso de eventos de seguridad especificados
+7. No almacenar información sensible en los registros, incluidos detalles innecesarios del sistema,
+ identificadores de sesión o contraseñas
+8. Utilizar una función hash criptográfica para validar la integridad de las entradas de registro
+
+#### 2. Diseño de registro de seguridad
+
+1. Proteger la integridad del registro
+2. Asegurar que las entradas de registro que incluyen datos no confiables no se ejecutarán como código
+ en la interfaz o software de visualización de registros previsto
+3. Restringir el acceso a los registros solo a individuos autorizados
+4. Utilizar una rutina central para todas las operaciones de registro
+5. Reenviar registros de sistemas distribuidos a un servicio de registro central y seguro
+6. Seguir un formato y enfoque de registro común dentro del sistema y entre sistemas de una organización
+7. Sincronizar entre nodos para garantizar que las marcas de tiempo sean consistentes
+8. Todos los controles de registro deben implementarse en un sistema confiable
+9. Asegurar que exista un mecanismo para realizar análisis de registros
+
+#### Referencias
+
+* [Hoja de Referencia: Registro][cslogging] de OWASP
+* [Hoja de Referencia: Vocabulario de Registro de Aplicaciones][csvocabulary] de OWASP
+* [Top 10 Controles Proactivos][proactive10] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en060209].
+
+La Guía para Desarrolladores OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue060209] o [edítelo en GitHub][edit060209].
+
+[csproactive-c9]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c9-implement-security-logging-and-monitoring
+[control9]: https://top10proactive.owasp.org/the-top-10/c9-security-logging-and-monitoring/
+[cslogging]: https://cheatsheetseries.owasp.org/cheatsheets/Logging_Cheat_Sheet
+[csvocabulary]: https://cheatsheetseries.owasp.org/cheatsheets/Logging_Vocabulary_Cheat_Sheet
+[edit060209]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/02-web-app-checklist/09-logging-monitoring.md
+[en060209]: https://devguide.owasp.org/en/04-design/02-web-app-checklist/09-logging-monitoring/
+[issue060209]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/09-logging-monitoring
+[proactive10]: https://top10proactive.owasp.org/
diff --git a/docs/es/04-design/02-web-app-checklist/10-handle-errors-exceptions.md b/docs/es/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
new file mode 100644
index 00000000..ed8e1009
--- /dev/null
+++ b/docs/es/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
@@ -0,0 +1,47 @@
+Manejar [excepciones y errores][cserror] correctamente es crítico para hacer que su código sea confiable y seguro.
+El manejo de errores y excepciones ocurre en todas las áreas de una aplicación, incluyendo la lógica crítica del negocio
+así como las características de seguridad y el código del framework.
+
+Consulte el control proactivo [C3: Validar todas las Entradas y Manejar Excepciones][control3]
+y sus [hojas de referencia][csproactive-c10] para obtener más contexto del proyecto OWASP Top 10 Controles Proactivos,
+y utilice la lista a continuación como sugerencias para una lista de verificación adaptada para el proyecto individual.
+
+#### 1. Errores y excepciones
+
+1. Gestionar las excepciones de manera centralizada para evitar bloques try/catch duplicados en el código
+2. Asegurar que todo comportamiento inesperado se maneje correctamente dentro de la aplicación
+3. Asegurar que los mensajes de error mostrados a los usuarios no filtren datos críticos,
+ pero que sean lo suficientemente detallados para permitir la respuesta adecuada del usuario
+4. Asegurar que los registros de excepciones proporcionen información suficiente para los equipos de soporte,
+ control de calidad, forense o respuesta a incidentes
+5. Probar y verificar cuidadosamente el código de manejo de errores
+6. No revelar información sensible en las respuestas de error, por ejemplo
+ detalles del sistema, identificadores de sesión o información de la cuenta
+7. Utilizar manejadores de errores que no muestren información de depuración o de seguimiento de pila
+8. Implementar mensajes de error genéricos y utilizar páginas de error personalizadas
+9. La aplicación debe manejar los errores de la aplicación y no depender de la configuración del servidor
+10. Liberar adecuadamente la memoria asignada cuando ocurran condiciones de error
+11. La lógica de manejo de errores asociada con los controles de seguridad debe denegar el acceso por defecto
+
+#### Referencias
+
+* [Guía de Revisión de Código: Manejo de Errores][review] de OWASP
+* [Manejo Inadecuado de Errores][handle] de OWASP
+* [Top 10 Controles Proactivos][proactive10] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en060210].
+
+La Guía para Desarrolladores OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue060210] o [edítelo en GitHub][edit060210].
+
+[cserror]: https://cheatsheetseries.owasp.org/cheatsheets/Error_Handling_Cheat_Sheet
+[csproactive-c10]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c10-handle-all-errors-and-exceptions
+[control3]: https://top10proactive.owasp.org/the-top-10/c3-validate-input-and-handle-exceptions/
+[edit060210]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
+[handle]: https://owasp.org/www-community/Improper_Error_Handling
+[en060210]: https://devguide.owasp.org/en/04-design/02-web-app-checklist/10-handle-errors-exceptions/
+[issue060210]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/02-web-app-checklist/10-handle-errors-exceptions
+[proactive10]: https://top10proactive.owasp.org/
+[review]: https://owasp.org/www-project-code-review-guide/
diff --git a/docs/es/04-design/02-web-app-checklist/index.md b/docs/es/04-design/02-web-app-checklist/index.md
new file mode 100644
index 00000000..5b587737
--- /dev/null
+++ b/docs/es/04-design/02-web-app-checklist/index.md
@@ -0,0 +1,31 @@
+{ align=right width=180 }
+
+### 4.2 Lista de verificación para aplicaciones web
+
+Las listas de verificación son un recurso valioso para los equipos de desarrollo.
+Proporcionan estructura para establecer buenas prácticas y procesos
+y también son útiles durante las revisiones de código y actividades de diseño.
+
+Las listas de verificación que siguen son listas generales categorizadas para seguir los controles enumerados en el
+proyecto [Top 10 Controles Proactivos de OWASP][proactive10].
+Estas listas de verificación proporcionan sugerencias que definitivamente deben adaptarse a
+los requisitos y entorno específicos de un proyecto; no están destinadas a seguirse en su totalidad.
+
+Probablemente el mejor punto de partida para una lista de verificación es el proporcionado
+por el [Estándar de Verificación de Seguridad de Aplicaciones (ASVS)][asvs].
+El ASVS puede utilizarse para proporcionar un marco para una lista de verificación inicial,
+según el nivel de verificación de seguridad, y esta lista de verificación inicial
+del ASVS puede ampliarse utilizando las siguientes secciones de la lista de verificación.
+
+----
+
+Traducción de versión [original en inglés][en0602].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0602] o [edítelo en GitHub][edit0602].
+
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[edit0602]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/02-web-app-checklist/index.md
+[en0602]: https://devguide.owasp.org/en/04-design/02-web-app-checklist/
+[issue0602]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2004-design/02-web-app-checklist/index
+[proactive10]: https://owasp.org/www-project-proactive-controls/
diff --git a/docs/es/04-design/03-mas-checklist.md b/docs/es/04-design/03-mas-checklist.md
new file mode 100644
index 00000000..740344b3
--- /dev/null
+++ b/docs/es/04-design/03-mas-checklist.md
@@ -0,0 +1,68 @@
+{ align=right width=180 }
+
+El proyecto insignia de OWASP [Seguridad de Aplicaciones Móviles][masproject] (MAS) proporciona
+estándares de la industria para la seguridad de aplicaciones móviles.
+
+El proyecto OWASP MAS proporciona el [Estándar de Verificación de Seguridad de Aplicaciones Móviles][masvs] (MASVS)
+para aplicaciones móviles y una completa [Guía de Pruebas de Seguridad de Aplicaciones Móviles][mastg] (MASTG).
+
+La [Lista de verificación de Seguridad de Aplicaciones Móviles][masc] contiene enlaces
+a los casos de prueba MASTG para cada control MASVS.
+
+#### ¿Qué es la Lista de verificación MAS?
+
+La Lista de verificación MAS proporciona una lista que hace seguimiento de los casos de prueba MASTG
+para un control MASVS determinado.
+Esta Lista de verificación MAS está dividida en categorías que coinciden con las categorías MASVS:
+
+* [MASVS-STORAGE](https://mas.owasp.org/checklists/MASVS-STORAGE/) almacenamiento de datos sensibles
+* [MASVS-CRYPTO](https://mas.owasp.org/checklists/MASVS-CRYPTO/) mejores prácticas de criptografía
+* [MASVS-AUTH](https://mas.owasp.org/checklists/MASVS-AUTH/) mecanismos de autenticación y autorización
+* [MASVS-NETWORK](https://mas.owasp.org/checklists/MASVS-NETWORK/) comunicaciones de red
+* [MASVS-PLATFORM](https://mas.owasp.org/checklists/MASVS-PLATFORM/) interacciones con la plataforma móvil
+* [MASVS-CODE](https://mas.owasp.org/checklists/MASVS-CODE/) puntos de entrada de la plataforma
+y datos junto con software de terceros
+* [MASVS-RESILIENCE](https://mas.owasp.org/checklists/MASVS-RESILIENCE/) integridad y ejecución en una plataforma confiable
+* [MASVS-PRIVACY](https://mas.owasp.org/checklists/MASVS-PRIVACY/) privacidad de usuarios, datos y recursos
+
+Además de los enlaces web, hay una [hoja de cálculo descargable][masxls].
+
+#### ¿Por qué usarla?
+
+El OWASP MASVS es el estándar de la industria para [seguridad de aplicaciones móviles][csmas].
+Si se está aplicando el MASTG a una aplicación móvil, la Lista de verificación MAS es una referencia útil
+que también puede utilizarse para fines de cumplimiento.
+
+#### Cómo utilizarla
+
+La [versión en línea][masc] es útil para listar los controles MASVS y qué pruebas MASTG aplican.
+Siga los enlaces para acceder a los controles y pruebas individuales.
+
+La [descarga de la hoja de cálculo][masxls] permite registrar el estado de cada prueba,
+con una hoja separada para cada categoría MASVS.
+Este registro de resultados de pruebas puede utilizarse como evidencia para fines de cumplimiento.
+
+#### Referencias
+
+* Proyecto de Seguridad de Aplicaciones Móviles ([MAS][masproject])
+* [Lista de verificación][masc] MAS
+* Estándar de Verificación MAS ([MASVS][masvs])
+* Guía de Pruebas MAS ([MASTG][mastg])
+* Hoja de Referencia de OWASP sobre [Seguridad de Aplicaciones Móviles][csmas]
+
+----
+
+Traducción de versión [original en inglés][en0603].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue0603] o [edítelo en GitHub][edit0603].
+
+[csmas]: https://cheatsheetseries.owasp.org/cheatsheets/Mobile_Application_Security_Cheat_Sheet
+[edit0603]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/03-mas-checklist.md
+[en0603]: https://devguide.owasp.org/en/04-design/03-mas-checklist/
+[issue0603]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2004-design/03-mas-checklist
+[masproject]: https://owasp.org/www-project-mobile-app-security/
+[masxls]: https://github.com/OWASP/owasp-mastg/releases/latest/download/OWASP_MAS_Checklist.xlsx
+[masc]: https://mas.owasp.org/checklists/
+[mastg]: https://mas.owasp.org/MASTG/
+[masvs]: https://mas.owasp.org/MASVS/
diff --git a/docs/es/04-design/index.md b/docs/es/04-design/index.md
new file mode 100644
index 00000000..95014e7c
--- /dev/null
+++ b/docs/es/04-design/index.md
@@ -0,0 +1,53 @@
+{ align=right width=180 }
+
+Refiriéndose a la [Hoja de Referencia de Diseño de Producto Seguro][spdcs],
+el propósito de la arquitectura y diseño seguros es garantizar
+que todos los productos cumplan o excedan los requisitos de seguridad establecidos por la organización,
+centrándose en la seguridad vinculada a los componentes y tecnologías utilizados durante el desarrollo de la aplicación.
+
+El Diseño de Arquitectura Segura examina la selección y composición de componentes que forman la base de la solución.
+La Gestión de Tecnología examina la seguridad de las tecnologías de apoyo utilizadas durante el desarrollo,
+despliegue y operaciones, como el stack de tecnología de desarrollo y sus herramientas, herramientas de despliegue,
+y sistemas operativos y sus herramientas.
+
+Un diseño seguro ayudará a establecer valores predeterminados seguros, minimizar el área de superficie de ataque
+y fallar de manera segura hacia valores predeterminados bien definidos y comprendidos.
+También considerará y seguirá varios principios, como:
+
+* Privilegio Mínimo y Separación de Deberes
+* Defensa en Profundidad
+* Confianza Cero
+* Seguridad en lo Abierto
+
+Un Ciclo de Vida de Desarrollo Seguro (SDLC) ayuda a asegurar que todas las decisiones de seguridad tomadas
+sobre el producto en desarrollo sean elecciones explícitas y resulten en el nivel correcto de seguridad
+para el diseño del producto.
+Se pueden utilizar varios ciclos de vida de desarrollo seguro y generalmente incluyen el modelado de amenazas
+en el proceso de diseño.
+
+Las listas de verificación y las Hojas de Referencia son herramientas importantes durante el proceso de diseño;
+proporcionan una referencia fácil de conocimiento y ayudan a evitar la repetición de errores y fallos de diseño.
+
+El [Diseño][sammd] de aplicaciones de software es una de las principales funciones de negocio descritas en
+el [Modelo de Madurez de Aseguramiento de Software (SAMM)][samm], e incluye prácticas de seguridad:
+
+* [Evaluación de Amenazas][sammdta]
+* [Requisitos de Seguridad][sammdsr]
+* [Arquitectura de Seguridad][sammdsa]
+
+----
+
+Traducción de versión [original en inglés][en0600].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0600] o [edítelo en GitHub][edit0600].
+
+[edit0600]: https://github.com/OWASP/DevGuide/blob/main/docs/es/04-design/index.md
+[en0600]: https://devguide.owasp.org/en/04-design/
+[issue0600]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2004-design/index
+[samm]: https://owaspsamm.org/about/
+[sammd]: https://owaspsamm.org/model/design/
+[sammdsa]: https://owaspsamm.org/model/design/secure-architecture/
+[sammdsr]: https://owaspsamm.org/model/design/security-requirements/
+[sammdta]: https://owaspsamm.org/model/design/threat-assessment/
+[spdcs]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet
diff --git a/docs/es/05-implementation/01-documentation/01-proactive-controls.md b/docs/es/05-implementation/01-documentation/01-proactive-controls.md
new file mode 100644
index 00000000..fd561fb0
--- /dev/null
+++ b/docs/es/05-implementation/01-documentation/01-proactive-controls.md
@@ -0,0 +1,112 @@
+{ align=right width=140 }
+
+Los [Top 10 Controles Proactivos][proactive10] de OWASP describen los controles y categorías de control más importantes
+que los arquitectos de seguridad y los equipos de desarrollo deberían considerar en proyectos de aplicaciones web.
+
+#### ¿Qué son los Top 10 Controles Proactivos?
+
+Los Top 10 Controles Proactivos de OWASP es una lista de técnicas de seguridad que
+deberían considerarse para aplicaciones web.
+Están ordenados por orden de importancia, siendo el control número 1 el más importante:
+
+* C1: [Implementar Control de Acceso][control1], ref [Hojas de Referencia][csproactive-c1]
+* C2: [Usar Criptografía de la manera correcta][control2], ref [Hojas de Referencia][csproactive-c2]
+* C3: [Validar todas las Entradas y Manejar Excepciones][control3], ref [Hojas de Referencia][csproactive-c3]
+* C4: [Encargarse de la Seguridad desde el Inicio][control4], ref [Hojas de Referencia][csproactive-c4]
+* C5: [Configuraciones Seguras por Defecto][control5], ref [Hojas de Referencia][csproactive-c5]
+* C6: [Mantener sus Componentes Seguros][control6], ref [Hojas de Referencia][csproactive-c6]
+* C7: [Implementar Identidad Digital][control7], ref [Hojas de Referencia][csproactive-c7]
+* C8: [Aprovechar las Características de Seguridad del Navegador][control8], ref [Hojas de Referencia][csproactive-c8]
+* C9: [Implementar Registro y Monitoreo de Seguridad][control9], ref [Hojas de Referencia][csproactive-c9]
+* C10: [Detener la Falsificación de Solicitudes del Lado del Servidor][control10], ref [Hojas de Referencia][csproactive-c10]
+
+#### ¿Por qué usarlos?
+
+Los Controles Proactivos son una lista bien establecida de controles de seguridad, publicada por primera vez en 2014
+y revisada en 2018, por lo que considerar estos controles puede verse como una mejor práctica.
+Seguir las mejores prácticas siempre es recomendable:
+como mínimo, una organización debería evitar las vulnerabilidades evitables.
+
+Implementar estos controles proactivos puede ayudar a remediar vulnerabilidades de seguridad comunes, por ejemplo:
+
+* [Clickjacking][csclick]
+* [Credential Stuffing][cscreds] (Relleno de credenciales)
+* [Cross-site leaks][csxsleaks] (Fugas entre sitios)
+* Ataques de [Denegación de Servicio][csdos] (DoS)
+* Ataques [XSS basados en DOM][csdom] incluyendo [DOM Clobbering][csdomclub]
+* [IDOR][csidor] (Referencia de Objeto Directa Insegura)
+* [Inyección][csinjection] incluyendo [inyección de comandos del sistema operativo][csosinjection] y [XXE][csxxe]
+* Ataques de [inyección][csldap] específicos de LDAP
+* [Contaminación de prototipos][csproto]
+* Ataques [SSRF][csssrf]
+* [Inyección SQL][cssql] y el uso de [Parametrización de Consultas][csquery]
+* [Redirecciones y reenvíos no validados][csredirect]
+* Ataques [XSS][csxss] y [Evasión de Filtros XSS][csxssevade]
+
+#### Cómo aplicarlos
+
+La serie OWASP Spotlight proporciona una visión general de cómo utilizar este proyecto de documentación:
+'Proyecto 8 - [Controles Proactivos][spotlight08]'.
+
+Durante el desarrollo de una aplicación web, considere utilizar cada control de seguridad
+descrito en las secciones de los Controles Proactivos que sean relevantes para la aplicación.
+
+Las Hojas de Referencia de OWASP han sido indexadas específicamente para [cada Control Proactivo][csproactive],
+que pueden utilizarse como información adicional sobre la implementación del control.
+
+#### Referencias
+
+* [Proyecto de Controles Proactivos][proactive10] de OWASP
+* [Índice de Controles Proactivos][csproactive] de Hojas de Referencia de OWASP
+
+----
+
+Traducción de versión [original en inglés][en070101].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue070101] o [edítelo en GitHub][edit070101].
+
+[csclick]: https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet
+[cscreds]: https://cheatsheetseries.owasp.org/cheatsheets/Credential_Stuffing_Prevention_Cheat_Sheet
+[csdom]: https://cheatsheetseries.owasp.org/cheatsheets/DOM_based_XSS_Prevention_Cheat_Sheet
+[csdomclub]: https://cheatsheetseries.owasp.org/cheatsheets/DOM_Clobbering_Prevention_Cheat_Sheet
+[csdos]: https://cheatsheetseries.owasp.org/cheatsheets/Denial_of_Service_Cheat_Sheet
+[csidor]: https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet
+[csinjection]: https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet
+[csosinjection]: https://cheatsheetseries.owasp.org/cheatsheets/OS_Command_Injection_Defense_Cheat_Sheet
+[csldap]: https://cheatsheetseries.owasp.org/cheatsheets/LDAP_Injection_Prevention_Cheat_Sheet
+[csproto]: https://cheatsheetseries.owasp.org/cheatsheets/Prototype_Pollution_Prevention_Cheat_Sheet
+[csproactive]: https://cheatsheetseries.owasp.org/IndexProactiveControls
+[csproactive-c1]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c1-define-security-requirements
+[csproactive-c2]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c2-leverage-security-frameworks-and-libraries
+[csproactive-c3]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c3-secure-database-access
+[csproactive-c4]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c4-encode-and-escape-data
+[csproactive-c5]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c5-validate-all-inputs
+[csproactive-c6]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c6-implement-digital-identity
+[csproactive-c7]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c7-enforce-access-controls
+[csproactive-c8]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c8-protect-data-everywhere
+[csproactive-c9]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c9-implement-security-logging-and-monitoring
+[csproactive-c10]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html#c10-handle-all-errors-and-exceptions
+[csredirect]: https://cheatsheetseries.owasp.org/cheatsheets/Unvalidated_Redirects_and_Forwards_Cheat_Sheet
+[cssql]: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet
+[csquery]: https://cheatsheetseries.owasp.org/cheatsheets/Query_Parameterization_Cheat_Sheet
+[csssrf]: https://cheatsheetseries.owasp.org/cheatsheets/Server_Side_Request_Forgery_Prevention_Cheat_Sheet
+[csxss]: https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet
+[csxsleaks]: https://cheatsheetseries.owasp.org/cheatsheets/XS_Leaks_Cheat_Sheet
+[csxssevade]: https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet
+[csxxe]: https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet
+[control1]: https://top10proactive.owasp.org/the-top-10/c1-accesscontrol/
+[control2]: https://top10proactive.owasp.org/the-top-10/c2-crypto/
+[control3]: https://top10proactive.owasp.org/the-top-10/c3-validate-input-and-handle-exceptions/
+[control4]: https://top10proactive.owasp.org/the-top-10/c4-secure-architecture/
+[control5]: https://top10proactive.owasp.org/the-top-10/c5-secure-by-default/
+[control6]: https://top10proactive.owasp.org/the-top-10/c6-use-secure-dependencies/
+[control7]: https://top10proactive.owasp.org/the-top-10/c7-secure-digital-identities/
+[control8]: https://top10proactive.owasp.org/the-top-10/c8-help-the-browser-defend-the-user/
+[control9]: https://top10proactive.owasp.org/the-top-10/c9-security-logging-and-monitoring/
+[control10]: https://top10proactive.owasp.org/the-top-10/c10-stop-server-side-request-forgery/
+[edit070101]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/01-documentation/01-proactive-controls.md
+[en070101]: https://devguide.owasp.org/en/05-implementation/01-documentation/01-proactive-controls/
+[issue070101]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/01-documentation/01-proactive-controls
+[proactive10]: https://top10proactive.owasp.org/
+[spotlight08]: https://youtu.be/HRtYDCWOSc0
diff --git a/docs/es/05-implementation/01-documentation/02-go-scp.md b/docs/es/05-implementation/01-documentation/02-go-scp.md
new file mode 100644
index 00000000..2f11e918
--- /dev/null
+++ b/docs/es/05-implementation/01-documentation/02-go-scp.md
@@ -0,0 +1,64 @@
+Las Prácticas de Codificación Segura en Go de OWASP (Go-SCP) son un conjunto de prácticas de codificación segura
+para el lenguaje de programación Go.
+
+El [proyecto de documentación Go-SCP][go-scp-project] es un Proyecto Incubadora de OWASP
+que tiene suficiente soporte a largo plazo para alcanzar pronto el estado de Laboratorio.
+El documento publicado puede ser [descargado en varios formatos][go-scp-download] desde el repositorio de GitHub.
+
+#### ¿Qué es Go-SCP?
+
+Go-SCP proporciona ejemplos y recomendaciones para ayudar a los desarrolladores a evitar errores e inconvenientes comunes,
+incluyendo ejemplos de código en Go que proporcionan una guía práctica para implementar las recomendaciones.
+Go-SCP cubre la [Guía de Referencia Rápida de Prácticas de Codificación Segura][scp-qrf] de OWASP tema por tema:
+
+* Validación de Entrada
+* Sanitización y Codificación de Salida
+* Autenticación y Gestión de Contraseñas
+* Gestión de Sesiones
+* Control de Acceso
+* Prácticas Criptográficas
+* Manejo de Errores y Registro
+* Protección de Datos
+* Seguridad en las Comunicaciones
+* Configuración del Sistema
+* Seguridad de Bases de Datos
+* Gestión de Archivos
+* Gestión de Memoria
+* Prácticas Generales de Codificación
+
+El libro [Prácticas de Codificación Segura en Go][go-scp-project] está disponible en varios formatos:
+
+* PDF
+* ePub
+* DocX
+* MOBI
+
+#### ¿Por qué usar Go-SCP?
+
+Los equipos de desarrollo a menudo necesitan ayuda y soporte para implementar correctamente
+la seguridad en aplicaciones web, y parte de esta ayuda proviene de directrices y mejores prácticas de codificación segura.
+Go-SCP proporciona esta orientación para una amplia gama de temas de codificación segura,
+además de proporcionar ejemplos prácticos de código para cada práctica de codificación.
+
+#### Cómo usar Go-SCP
+
+La audiencia principal de la Guía de Prácticas de Codificación Segura en Go son los desarrolladores,
+particularmente aquellos con experiencia previa en otros lenguajes de programación.
+
+Descargue el [documento Go-SCP][go-scp-download] en uno de los formatos: PDF, ePub, DocX y MOBI.
+Consulte el capítulo específico del tema y luego utilice los fragmentos de código de ejemplo en Go
+para obtener una guía práctica sobre codificación segura usando Go.
+
+----
+
+Traducción de versión [original en inglés][en070102].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse
+entonces [cree un issue][issue070102] o [edítelo en GitHub][edit070102].
+
+[edit070102]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/01-documentation/02-go-scp.md
+[en070102]: https://devguide.owasp.org/en/05-implementation/01-documentation/02-go-scp/
+[go-scp-download]: https://github.com/OWASP/Go-SCP/tree/master/dist
+[go-scp-project]: https://owasp.org/www-project-go-secure-coding-practices-guide/
+[issue070102]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/01-documentation/02-go-scp
+[scp-qrf]: https://owasp.org/www-project-secure-coding-practices-quick-reference-guide/
diff --git a/docs/es/05-implementation/01-documentation/03-cheatsheets.md b/docs/es/05-implementation/01-documentation/03-cheatsheets.md
new file mode 100644
index 00000000..bb5c0c32
--- /dev/null
+++ b/docs/es/05-implementation/01-documentation/03-cheatsheets.md
@@ -0,0 +1,76 @@
+{ align=right width=200 }
+
+La [Serie de Hojas de Referencia de OWASP][cheatsheets] proporciona una colección concisa de información de alto valor
+sobre una amplia gama de temas específicos de seguridad en aplicaciones.
+Las hojas de referencia han sido creadas por una comunidad de profesionales de seguridad de aplicaciones
+que tienen experiencia en cada tema específico.
+
+El [proyecto de documentación de la Serie de Hojas de Referencia][csproject] es un Proyecto Insignia (Flagship) de OWASP
+que se mantiene constantemente actualizado.
+
+#### ¿Qué son las Hojas de Referencia?
+
+Las Hojas de Referencia de OWASP son una base de conocimientos común creada por la comunidad de seguridad de software
+para una amplia audiencia que no se limita a la comunidad de seguridad.
+
+Las Hojas de Referencia son una serie de artículos autónomos escritos por la comunidad de seguridad
+sobre un tema específico dentro del dominio de seguridad.
+La gama de temas cubiertos por las hojas de referencia es amplia, casi de la A a la Z:
+desde Seguridad AJAX hasta vulnerabilidades XS (Cross Site).
+Cada hoja de referencia proporciona una introducción al tema y ofrece información suficiente
+para comprender el concepto básico.
+Luego continúa describiendo su tema con más detalle, a menudo proporcionando recomendaciones o mejores prácticas.
+
+#### ¿Por qué usarlas?
+
+La Serie de Hojas de Referencia de OWASP proporciona a los desarrolladores
+e ingenieros de seguridad la mayoría, y quizás toda,
+la información sobre temas de seguridad que necesitarán para hacer su trabajo.
+Además, las Hojas de Referencia son consideradas autoritativas:
+se recomienda seguir los consejos de estas Hojas de Referencia.
+Si una aplicación web no sigue las recomendaciones de una hoja de referencia, por ejemplo,
+la implementación podría ser cuestionada durante los procesos de prueba o revisión.
+
+#### Cómo usarlas
+
+La serie OWASP Spotlight proporciona una buena visión general del uso de esta documentación:
+'Proyecto 4 - [Serie de Hojas de Referencia][spotlight04]'.
+
+Hay muchas hojas de referencia en la Serie de Hojas de Referencia de OWASP;
+91 de ellas hasta marzo de 2024 y este número está empezando a aumentar.
+La comunidad de OWASP reconoce que esto puede resultar abrumador al principio,
+por lo que las ha organizado de varias formas:
+
+* [Alfabéticamente][cheatsheet-alpha]
+* Indexadas para seguir el [proyecto ASVS][csasvs] o el [proyecto MASVS][csmasvs]
+* Organizadas en secciones del [Top 10 de OWASP][cstop10] o los [Controles Proactivos de OWASP][csproactive]
+
+Las hojas de referencia se actualizan continuamente y siempre están abiertas a contribuciones de la comunidad de seguridad.
+
+#### Referencias
+
+* [Serie de Hojas de Referencia][cheatsheets] de OWASP
+* Índice [ASVS][csasvs] de las Hojas de Referencia de OWASP
+* Índice [MASVS][csmasvs] de las Hojas de Referencia de OWASP
+* Índice de [Controles Proactivos][csproactive] de las Hojas de Referencia de OWASP
+* Índice [Top 10][cstop10] de las Hojas de Referencia de OWASP
+* [Proyecto de Hojas de Referencia][csproject] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en070103].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse
+entonces [cree un issue][issue070103] o [edítelo en GitHub][edit070103].
+
+[csproject]: https://owasp.org/www-project-cheat-sheets/
+[cheatsheets]: https://cheatsheetseries.owasp.org/
+[cheatsheet-alpha]: https://cheatsheetseries.owasp.org/Glossary
+[csasvs]: https://cheatsheetseries.owasp.org/IndexASVS
+[csmasvs]: https://cheatsheetseries.owasp.org/IndexMASVS.html
+[csproactive]: https://cheatsheetseries.owasp.org/IndexProactiveControls.html
+[cstop10]: https://cheatsheetseries.owasp.org/IndexTopTen.html
+[edit070103]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/01-documentation/03-cheatsheets.md
+[en070103]: https://devguide.owasp.org/en/05-implementation/01-documentation/03-cheatsheets/
+[issue070103]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/01-documentation/03-cheatsheets
+[spotlight04]: https://youtu.be/S1cVYRDeiPQ
diff --git a/docs/es/05-implementation/01-documentation/index.md b/docs/es/05-implementation/01-documentation/index.md
new file mode 100644
index 00000000..e71d8536
--- /dev/null
+++ b/docs/es/05-implementation/01-documentation/index.md
@@ -0,0 +1,24 @@
+{ align=right width=180 }
+
+La documentación se utiliza aquí como parte de la actividad [Capacitación y Concienciación][sammgegta] de SAMM,
+que a su vez forma parte de la práctica de seguridad [Educación y Orientación][sammgeg] de SAMM
+dentro de la función de negocio [Gobernanza][sammg].
+
+Es importante que los equipos de desarrollo dispongan de buena documentación sobre técnicas de seguridad,
+frameworks, herramientas y amenazas.
+La documentación ayuda a promover la concienciación sobre seguridad para todos los equipos involucrados
+en el desarrollo de software, y proporciona orientación sobre cómo incorporar la seguridad en aplicaciones y sistemas.
+
+----
+
+Traducción de versión [original en inglés][en0710].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0710] o [edítelo en GitHub][edit0710].
+
+[edit0710]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/01-documentation/index.md
+[en0710]: https://devguide.owasp.org/en/05-implementation/01-documentation/
+[issue0710]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2005-implementation/01-documentation/index
+[sammg]: https://owaspsamm.org/model/governance/
+[sammgeg]: https://owaspsamm.org/model/governance/education-and-guidance/
+[sammgegta]: https://owaspsamm.org/model/governance/education-and-guidance/stream-a/
diff --git a/docs/es/05-implementation/02-dependencies/01-dependency-check.md b/docs/es/05-implementation/02-dependencies/01-dependency-check.md
new file mode 100644
index 00000000..6a1aed70
--- /dev/null
+++ b/docs/es/05-implementation/02-dependencies/01-dependency-check.md
@@ -0,0 +1,91 @@
+{ width=250 }
+
+OWASP [Dependency-Check][depcheck] es una herramienta que proporciona Análisis de Composición de Software (SCA)
+desde la línea de comandos.
+Identifica las bibliotecas de terceros en un proyecto de aplicación web
+y verifica si estas bibliotecas son vulnerables utilizando la [base de datos NVD][nist-db].
+
+Dependency-Check es un proyecto Insignia (Flagship) de OWASP y puede descargarse desde el área
+de [versiones de GitHub][depcheck-download].
+Dependency-Check se inició en septiembre de 2012 y desde entonces ha recibido soporte continuo con versiones regulares.
+
+#### ¿Qué es Dependency-Check?
+
+Dependency-Check es una herramienta de Análisis de Composición de Software (SCA) que intenta detectar
+vulnerabilidades públicas contenidas dentro de las dependencias de un proyecto.
+Lo hace determinando si existe un identificador de enumeracion de plataforma común - [Common Platform Enumeration][cpe]
+(CPE) para una dependencia dada.
+
+El motor principal contiene una serie de analizadores que inspeccionan las dependencias del proyecto
+e identifican el CPE para la dependencia dada.
+Si se identifica un CPE, entonces se hace referencia cruzada con la [base de datos CVE de NIST][nist-db]
+y cualquier entrada [Common Vulnerability and Exposure][cve] (CVE) asociada se lista en el informe.
+
+El motor de análisis principal de Dependency-Check puede usarse como:
+
+* una Tarea Ant
+* una Herramienta de Línea de Comandos
+* Plugin de Gradle
+* Plugin de Jenkins
+* Plugin de Maven
+* Plugin de SBT
+
+#### ¿Por qué usarlo?
+
+La verificación de componentes vulnerables, '[A06 Componentes Vulnerables y Desactualizados][a06]', está en el OWASP Top 10
+y es una de las actividades de seguridad más directas y efectivas para implementar.
+La herramienta Dependency-Check proporciona verificaciones de componentes vulnerables
+que podrían ejecutarse desde la línea de comandos.
+
+Esto es útil para los equipos de desarrollo; la capacidad de verificar componentes vulnerables
+de la aplicación desde la línea de comandos
+proporciona retroalimentación inmediata al desarrollador sin tener que esperar a que se ejecute un pipeline.
+
+Dependency-Check también proporciona plugins para verificar componentes vulnerables en [pipelines CI/CD][cscicd].
+
+#### Cómo usarlo
+
+La serie OWASP Spotlight proporciona un ejemplo de los riesgos involucrados en el uso de bibliotecas desactualizadas
+y vulnerables, y cómo usar Dependency-Check: 'Project 2 - [OWASP Dependency Check][spotlight02]'.
+
+Consulte la [documentación][depcheck-docs] de Dependency-Check para comenzar a ejecutarlo desde la línea de comandos:
+
+* asegúrese de que Java está instalado, por ejemplo desde [Eclipse Adoptium][adoptium]
+* descargue y descomprima la última [versión][depcheck-download] de Dependency-Check
+* navegue al directorio 'bin' de Dependency-Check y ejecútelo, usando Threat Dragon como ejemplo:
+ `./dependency-check.sh --project "Threat Dragon" --scan ~/github/threat-dragon`
+* abra el archivo de salida html y actúe según los hallazgos
+
+La línea de comandos es útil para la depuración inmediata durante el desarrollo.
+Dependiendo del entorno de automatización que esté en funcionamiento, también se puede instalar un plugin
+en un pipeline que luego puede generar los informes SCA.
+
+#### Referencias
+
+* Proyecto [Dependency-Check][depcheck] de OWASP
+* Documentación de [Dependency-Check][depcheck-docs] de OWASP
+* [Hoja de Referencia de Seguridad CI/CD][cscicd] de OWASP
+* [Top 10][a06] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en070201].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si hay algo que necesita cambiarse entonces [cree un issue][issue070201] o [edítelo en GitHub][edit070201].
+
+[a06]: https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/
+[adoptium]: https://adoptium.net/
+[cpe]: https://nvd.nist.gov/products/cpe
+[cscicd]: https://cheatsheetseries.owasp.org/cheatsheets/CI_CD_Security_Cheat_Sheet
+[cve]: https://www.cve.org/
+[depcheck]: https://owasp.org/www-project-dependency-check/
+[depcheck-docs]: https://jeremylong.github.io/DependencyCheck/
+[depcheck-download]: https://github.com/jeremylong/DependencyCheck/releases
+[edit070201]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/02-dependencies/01-dependency-check.md
+[en070201]: https://devguide.owasp.org/en/05-implementation/02-dependencies/01-dependency-check/
+[issue070201]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/02-dependencies/01-dependency-check
+[nist-db]: https://nvd.nist.gov/
+[spotlight02]: https://youtu.be/YAXf3TaAYeA
+
+\newpage
diff --git a/docs/es/05-implementation/02-dependencies/02-dependency-track.md b/docs/es/05-implementation/02-dependencies/02-dependency-track.md
new file mode 100644
index 00000000..0d2f308e
--- /dev/null
+++ b/docs/es/05-implementation/02-dependencies/02-dependency-track.md
@@ -0,0 +1,68 @@
+OWASP Dependency-Track es una plataforma inteligente para el Análisis de Componentes, incluido Software de Terceros.
+Permite a las organizaciones identificar y reducir riesgos en la [cadena de suministro de software][cschain]
+utilizando su capacidad para analizar una Lista de Materiales de Software (SBOM).
+
+[Dependency-Track][deptrack-project] es un proyecto Insignia (Flagship) de OWASP
+y puede instalarse utilizando un archivo docker-compose desde el [sitio web][deptrack] de Dependency-Track.
+
+#### ¿Qué es Dependency-Track?
+
+La herramienta [Dependency-Track][deptrack] proporciona a una organización un dashboard para analizar, supervisar
+y controlar los componentes de todos sus proyectos.
+Realiza un seguimiento del uso de componentes en todas las aplicaciones del portafolio
+de una organización mediante el análisis de exportaciones
+de múltiples proyectos dentro de la organización, a través de SBOMs de CycloneDX y Vulnerability Exploitability Exchange.
+
+Proporciona soporte completo para todo tipo de componentes, incluidos hardware y servicios.
+Dependency-Track identifica múltiples formas de riesgo, incluidos componentes con vulnerabilidades conocidas,
+mediante la integración con múltiples fuentes de inteligencia de vulnerabilidades como la
+Base de Datos Nacional de Vulnerabilidades (NVD), asesorías de seguridad de GitHub y otros.
+
+Tiene soporte incorporado para varios tipos de repositorios,
+y proporcionará riesgo y cumplimiento para seguridad, riesgo y operaciones.
+Consulte la [Documentación][deptrack-docs] para obtener más información
+sobre las características proporcionadas por Dependency-Track.
+
+#### ¿Por qué usarlo?
+
+Al aprovechar las capacidades de la Lista de Materiales de Software (SBOM), Dependency-Track proporciona funcionalidades
+que las soluciones tradicionales de Análisis de Composición de Software (SCA) difícilmente podrían lograr.
+
+El dashboard de Dependency-Track tiene la capacidad de analizar todos los proyectos de software dentro de una organización.
+Se integra con numerosas plataformas de notificación, por ejemplo Slack y Microsoft Teams, y puede enviar resultados
+a varias herramientas de agregación de vulnerabilidades como DefectDojo o Fortify.
+
+Dependency-Track es rico en funcionalidades, proporciona integraciones
+y características que la mayoría de las organizaciones necesitarán;
+consulte la [Introducción a la Documentación][deptrack-docs] para obtener una lista completa de estas características.
+
+#### Cómo usarlo
+
+La serie OWASP Spotlight proporciona una visión general del seguimiento de dependencias
+y la inspección de SBOMs utilizando Dependency-Track:
+'Project 15 - [OWASP Dependency-Track][spotlight15]'.
+
+Siga la [guía de inicio][deptrack-docs] para instalar la herramienta Dependency-Track,
+utilizando la implementación recomendada de un contenedor Docker.
+
+Aunque Dependency-Track se ejecutará con su configuración predeterminada,
+debe configurarse según las necesidades específicas de la organización.
+El archivo de configuración de Dependency-Track es importante para ejecutar la herramienta de manera óptima,
+pero esto está fuera del alcance de la Guía del Desarrollador - consulte la
+[documentación][deptrack-docs] de Dependency-Track para obtener una guía paso a paso de este proceso de configuración.
+
+----
+
+Traducción de versión [original en inglés][en070202].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse
+entonces [cree un issue][issue070202] o [edítelo en GitHub][edit070202].
+
+[cschain]: https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet
+[deptrack]: https://dependencytrack.org/
+[deptrack-docs]: https://docs.dependencytrack.org/
+[deptrack-project]: https://owasp.org/www-project-dependency-track/
+[edit070202]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/02-dependencies/02-dependency-track.md
+[en070202]: https://devguide.owasp.org/en/05-implementation/02-dependencies/02-dependency-track/
+[issue070202]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/02-dependencies/02-dependency-track
+[spotlight15]: https://youtu.be/irnZuLq4MDM
diff --git a/docs/es/05-implementation/02-dependencies/03-cyclonedx.md b/docs/es/05-implementation/02-dependencies/03-cyclonedx.md
new file mode 100644
index 00000000..8d557f5b
--- /dev/null
+++ b/docs/es/05-implementation/02-dependencies/03-cyclonedx.md
@@ -0,0 +1,82 @@
+{ align=right width=180 }
+
+[CycloneDX][cyclonedx] de OWASP es un estándar completo de Lista de Materiales (BOM)
+que proporciona capacidades avanzadas para la cadena de suministro con el fin de reducir el riesgo cibernético.
+Este [proyecto][cyclonedx-project] es uno de los proyectos insignia de OWASP.
+
+#### ¿Qué es CycloneDX?
+
+CycloneDX es un estándar ampliamente utilizado para varios tipos de [Listas de Materiales][cyclonedx-spec].
+Proporciona a la [cadena de suministro][cschain] de una organización la reducción de riesgos de seguridad del software.
+La especificación provee:
+
+* [Lista de Materiales de Software][cyclonedx-sbom] (SBOM)
+* [Lista de Materiales de Software como Servicio][cyclonedx-saasbom] (SaaSBOM)
+* [Lista de Materiales de Hardware][cyclonedx-hbom] (HBOM)
+* [Lista de Materiales de Machine-learning][cyclonedx-mlbom] (ML-BOM)
+* [Lista de Materiales de Fabricación][cyclonedx-mbom] (MBOM)
+* [Lista de Materiales de Operaciones][cyclonedx-obom] (OBOM)
+* [Lista de Vulnerabilidades][cyclonedx-bov] (BOV)
+* [Informes de Divulgación de Vulnerabilidades][cyclonedx-vdr] (VDR)
+* [Intercambio de Explotabilidad de Vulnerabilidades][cyclonedx-vex] (VEX)
+* Formato común para [Notas de Lanzamiento][cyclonedx-notes]
+* Sintaxis para [Vinculación de Lista de Materiales][cyclonedx-bomlink] (BOM-Link)
+
+El proyecto CycloneDX proporciona estándares en XML, JSON y Protocol Buffers.
+Existe una gran colección de herramientas oficiales y respaldadas por la comunidad que consumen
+y crean BOMs de CycloneDX o interoperan con el estándar CycloneDX.
+
+#### ¿Por qué utilizarlo?
+
+CycloneDX es un estándar muy bien establecido para SBOMs y varios otros tipos de BOM.
+Existe un enorme ecosistema construido alrededor de CycloneDX y es utilizado globalmente por muchas empresas.
+Además, los SBOMs son obligatorios para muchas industrias y varios gobiernos - en algún momento,
+todas las organizaciones tendrán que proporcionar SBOMs para sus clientes, y CycloneDX es un estándar aceptado para esto.
+
+CycloneDX también proporciona estándares para otros tipos de BOMs que pueden ser requeridos en la cadena de suministro
+junto con estándares para notas de lanzamiento y [divulgación responsable][csdisclose].
+Es útil utilizar CycloneDX a lo largo de la cadena de suministro ya que promueve la interoperabilidad
+entre las diversas herramientas.
+
+#### Cómo utilizarlo
+
+La serie OWASP Spotlight proporciona una visión general de CycloneDX junto con una demostración del uso de SBOMs:
+'Proyecto 21 - [OWASP CycloneDX][spotlight21]'.
+
+CycloneDX es un estándar fácil de entender que puede ser aumentado para adaptarse a todas las partes
+de una cadena de suministro, y hay [muchas herramientas][cyclonedx-tools] (más de 220 a febrero de 2024)
+que interoperan con CycloneDX.
+
+La forma más sencilla de utilizar CycloneDX es seleccionar herramientas de esta lista
+para cualquiera de los tipos de BOM compatibles,
+con herramientas tanto propietarias/comerciales como de código abierto incluidas en la lista.
+Un ejemplo común es cuando un cliente solicita que se proporcione un SBOM para una aplicación web,
+y se pueden elegir [varias herramientas][cyclonedx-tools] que pueden exportar el SBOM en varios formatos.
+
+----
+Traducción de versión [original en inglés][release070203].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario;
+si hay algo que necesita cambiarse, [cree un issue][issue070203] o [edítelo en GitHub][edit070203].
+
+[release070203]: https://github.com/OWASP/www-project-developer-guide/blob/main/release/07-implementation/02-dependencies/03-cyclonedx.md
+[cschain]: https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet
+[csdisclose]: https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet
+[cyclonedx]: https://cyclonedx.org/
+[cyclonedx-bomlink]: https://cyclonedx.org/capabilities/bomlink/
+[cyclonedx-bov]: https://cyclonedx.org/capabilities/bov/
+[cyclonedx-hbom]: https://cyclonedx.org/capabilities/hbom/
+[cyclonedx-mbom]: https://cyclonedx.org/capabilities/mbom/
+[cyclonedx-mlbom]: https://cyclonedx.org/capabilities/mlbom/
+[cyclonedx-notes]: https://cyclonedx.org/capabilities/release-notes/
+[cyclonedx-obom]: https://cyclonedx.org/capabilities/obom/
+[cyclonedx-project]: https://owasp.org/www-project-cyclonedx/
+[cyclonedx-saasbom]: https://cyclonedx.org/capabilities/saasbom/
+[cyclonedx-sbom]: https://cyclonedx.org/capabilities/sbom/
+[cyclonedx-spec]: https://cyclonedx.org/specification/overview/
+[cyclonedx-tools]: https://cyclonedx.org/tool-center/
+[cyclonedx-vdr]: https://cyclonedx.org/capabilities/vdr/
+[cyclonedx-vex]: https://cyclonedx.org/capabilities/vex/
+[edit070203]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/02-dependencies/03-cyclonedx.md
+[issue070203]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/02-dependencies/03-cyclonedx
+[spotlight21]: https://youtu.be/qEG6cxwl8os
diff --git a/docs/es/05-implementation/02-dependencies/index.md b/docs/es/05-implementation/02-dependencies/index.md
new file mode 100644
index 00000000..37e4c2e4
--- /dev/null
+++ b/docs/es/05-implementation/02-dependencies/index.md
@@ -0,0 +1,35 @@
+{ align=right width=180 }
+
+La gestión de dependencias de software se describe en la actividad [Dependencias de Software][sammisbsd] de SAMM,
+que a su vez forma parte de la práctica de seguridad [Construcción Segura][sammisb] de SAMM
+dentro de la función de negocio [Implementación][sammi].
+
+Es importante registrar todas las dependencias utilizadas en todo el entorno de producción de la aplicación.
+Esto puede lograrse mediante el Análisis de Composición de Software (SCA) para identificar las dependencias de terceros.
+
+Una Lista de Materiales de Software (SBOM) proporciona un registro de las dependencias dentro del sistema/aplicación,
+y ofrece información sobre cada dependencia para que pueda ser rastreada:
+
+* Dónde se utiliza o referencia
+* Versión utilizada
+* Licencia
+* Información de origen y repositorio
+* Estado de soporte y mantenimiento de la dependencia
+
+Disponer de un SBOM proporciona la capacidad de averiguar rápidamente qué aplicaciones se ven afectadas por una
+[Vulnerabilidad y Exposición Común][cve] (CVE) específica, o qué CVEs están presentes en una aplicación particular.
+
+----
+
+Traducción de versión [original en inglés][en0702].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0702] o [edítelo en GitHub][edit0702].
+
+[cve]: https://www.cve.org/
+[edit0702]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/02-dependencies/index.md
+[en0702]: https://devguide.owasp.org/en/05-implementation/02-dependencies/
+[issue0702]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2005-implementation/02-dependencies/index
+[sammi]: https://owaspsamm.org/model/implementation/
+[sammisb]: https://owaspsamm.org/model/implementation/secure-build/
+[sammisbsd]: https://owaspsamm.org/model/implementation/secure-build/stream-b/
diff --git a/docs/es/05-implementation/03-secure-libraries/01-esapi.md b/docs/es/05-implementation/03-secure-libraries/01-esapi.md
new file mode 100644
index 00000000..207f0904
--- /dev/null
+++ b/docs/es/05-implementation/03-secure-libraries/01-esapi.md
@@ -0,0 +1,76 @@
+{ align=right width=180 }
+
+La librería OWASP Enterprise Security API (ESAPI) [library][esapi-docs] es una librería de controles de seguridad
+para aplicaciones web escritas en Java.
+
+La [librería ESAPI][esapi-project] es un proyecto de Laboratorio OWASP que se encuentra en desarrollo activo
+para [controles de seguridad de Java][esapi-java] con lanzamientos regulares.
+
+#### ¿Qué es la librería ESAPI?
+
+La [librería][esapi-docs] OWASP Enterprise Security API (ESAPI) proporciona un conjunto de interfaces de control
+de seguridad que definen los tipos de parámetros que se pasan a los controles de seguridad.
+
+ESAPI es una librería de controles de seguridad para aplicaciones web de código abierto que facilita
+a los programadores de Java escribir aplicaciones con menor riesgo.
+La librería Java de ESAPI está diseñada para ayudar a los programadores
+a incorporar seguridad sobre aplicaciones Java existentes,
+y la librería también sirve como una base sólida para nuevos desarrollos.
+
+#### ¿Por qué usarla?
+
+El uso de la librería Java ESAPI no es fácil de justificar, aunque su uso ciertamente debe ser considerado.
+Las decisiones de ingeniería que un equipo de desarrollo necesitará tomar al usar ESAPI se discuten
+en el documento '[¿Debería usar ESAPI?][esapi-question]'.
+
+Para proyectos nuevos o para modificar un proyecto existente, se deberían considerar seriamente las alternativas:
+
+* Codificación de salida: Proyecto OWASP [Java Encoder][java-encoder]
+* Sanitización general de HTML: OWASP [Java HTML Sanitizer][java-sanitizer]
+* Validación: [JSR-303/JSR-349 Bean Validation][bean]
+* Criptografía fuerte: Google [Tink][google-tink] o [Keyczar][google-keyczar]
+* Autenticación y autorización: [Apache Shiro][shiro], autenticación usando [Spring Security][spring]
+* Protección [CSRF][cscsrf]: Proyecto OWASP [CSRFGuard][csrfguard]
+
+Se podría considerar el uso de ESAPI si múltiples controles de seguridad proporcionados por esta librería se utilizan
+en un proyecto; entonces podría ser útil usar la librería monolítica ESAPI
+en lugar de múltiples librerías de clases dispares.
+
+#### Cómo usarla
+
+Si la decisión de ingeniería es usar la librería ESAPI,
+entonces puede descargarse como un archivo de paquete Java Archive (.jar).
+Hay una implementación de referencia para cada control de seguridad.
+
+#### Referencias
+
+* [ESAPI para Java][esapi-java]
+* [Documentación][esapi-docs] de ESAPI
+* [Proyecto][esapi-project] ESAPI
+* Proyecto [Java Encoder][java-encoder] de OWASP
+* [Java HTML Sanitizer][java-sanitizer]
+* [Spring Security][spring]
+
+----
+
+Traducción de versión [original en inglés][en070301].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario;
+si hay algo que necesita cambiarse, [cree un issue][issue070301] o [edítelo en GitHub][edit070301].
+
+[bean]: http://beanvalidation.org/
+[csrfguard]: https://owasp.org/www-project-csrfguard/
+[cscsrf]: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet
+[edit070301]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/03-secure-libraries/01-esapi.md
+[en070301]: https://devguide.owasp.org/en/05-implementation/03-secure-libraries/01-esapi/
+[esapi-docs]: https://www.javadoc.io/doc/org.owasp.esapi/esapi/latest/index.html
+[esapi-java]: https://mvnrepository.com/artifact/org.owasp.esapi/esapi
+[esapi-project]: https://owasp.org/www-project-enterprise-security-api/
+[esapi-question]: https://owasp.org/www-project-enterprise-security-api/#div-shouldiuseesapi
+[google-keyczar]: https://github.com/google/keyczar
+[google-tink]: https://github.com/google/tink
+[issue070301]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/03-secure-libraries/01-esapi
+[java-encoder]: https://owasp.org/www-project-java-encoder
+[java-sanitizer]: https://owasp.org/www-project-java-html-sanitizer
+[shiro]: https://shiro.apache.org/
+[spring]: https://docs.spring.io/spring-security/reference/features/index.html
diff --git a/docs/es/05-implementation/03-secure-libraries/02-csrf-guard.md b/docs/es/05-implementation/03-secure-libraries/02-csrf-guard.md
new file mode 100644
index 00000000..0a0294de
--- /dev/null
+++ b/docs/es/05-implementation/03-secure-libraries/02-csrf-guard.md
@@ -0,0 +1,47 @@
+OWASP [CSRFGuard][csrfguard] es un control de seguridad que ayuda a proteger las aplicaciones Java
+contra ataques de [Falsificación de Petición en Sitios Cruzados][cscsrf] (CSRF).
+
+El proyecto CSRFGuard Builder/Breaker Tool es un Proyecto de Producción OWASP
+y está siendo mantenido activamente por un grupo de voluntarios internacionales.
+
+#### ¿Qué es CSRFGuard?
+
+OWASP [CSRFGuard][csrfguard] es una librería que implementa una variante del patrón de token sincronizador
+para mitigar el riesgo de ataques de Falsificación de Petición en Sitios Cruzados (CSRF) para aplicaciones Java.
+
+La librería OWASP CSRFGuard se integra mediante el uso de un Filtro JavaEE y expone varias formas automatizadas
+y manuales para integrar tokens por sesión o pseudo-por-petición en HTML. Cuando un usuario interactúa con este HTML,
+los tokens de prevención CSRF se envían con la petición HTTP correspondiente.
+CSRFGuard asegura que el token esté presente y sea válido para la petición HTTP actual.
+
+#### ¿Por qué usarlo?
+
+La librería OWASP CSRFGuard es ampliamente utilizada para aplicaciones Java, y ayudará a mitigar contra CSRF.
+
+#### Cómo usarlo
+
+Las versiones precompiladas de la biblioteca CSRFGuard pueden descargarse
+desde el [repositorio Maven Central][csrfguard-maven] o el repositorio [OSS Sonatype Nexus][csrfguard-nexus].
+
+Sigue las [instrucciones][csrfguard-build] para integrar CSRFGuard en la aplicación Java utilizando Maven.
+
+#### Referencias
+
+* [CSRFGuard][csrfguard] de OWASP
+* [Hoja de Referencia para Prevención de Falsificación de Petición en Sitios Cruzados][cscsrf] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en070302].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue070302] o [edítelo en GitHub][edit070302].
+
+[csrfguard]: https://owasp.org/www-project-csrfguard/
+[csrfguard-build]: https://github.com/OWASP/www-project-csrfguard/blob/master/readme.md#using-with-maven
+[csrfguard-nexus]: https://oss.sonatype.org/#nexus-search;gav~~csrfguard~~~
+[csrfguard-maven]: https://central.sonatype.com/search?q=csrfguard&smo=true
+[cscsrf]: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet
+[edit070302]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/03-secure-libraries/02-csrf-guard.md
+[en070302]: https://devguide.owasp.org/en/05-implementation/03-secure-libraries/02-csrf-guard/
+[issue070302]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/03-secure-libraries/02-csrf-guard
diff --git a/docs/es/05-implementation/03-secure-libraries/03-secure-headers.md b/docs/es/05-implementation/03-secure-libraries/03-secure-headers.md
new file mode 100644
index 00000000..1391567e
--- /dev/null
+++ b/docs/es/05-implementation/03-secure-libraries/03-secure-headers.md
@@ -0,0 +1,54 @@
+{ align=right width=150 }
+
+El Proyecto OWASP Secure Headers ([OSHP][oshp]) proporciona información sobre cabeceras de respuesta HTTP
+para incrementar la seguridad de una aplicación web.
+
+El proyecto de documentación OSHP es un Proyecto de Laboratorio OWASP
+y crea conciencia sobre las cabeceras seguras y su uso.
+
+#### ¿Qué es OSHP?
+
+El [proyecto OSHP][oshp] proporciona explicaciones para las cabeceras de respuesta HTTP que una aplicación
+puede utilizar para aumentar la seguridad de la aplicación. Una vez establecidas, las cabeceras de respuesta HTTP
+pueden restringir a los navegadores modernos de ejecutar vulnerabilidades fácilmente prevenibles.
+
+OSHP contiene guías y descargas sobre:
+
+* Explicaciones y uso de las cabeceras de respuesta
+* Enlaces al soporte individual de cada navegador
+* Orientación y mejores prácticas
+* Recursos técnicos en forma de herramientas y documentos
+* Fragmentos de código para ayudar a trabajar con cabeceras de seguridad HTTP
+
+#### ¿Por qué usarlo?
+
+El OSHP es un proyecto de documentación que explica el razonamiento y uso de las cabeceras de respuesta HTTP.
+Es el documento de referencia para orientación y mejores prácticas;
+la información sobre cabeceras de respuesta HTTP es el mejor consejo, en una sola ubicación, y se mantiene actualizada.
+
+#### Cómo usarlo
+
+La serie OWASP Spotlight proporciona una visión general de este proyecto
+y sus usos: 'Proyecto 24 - [Proyecto Security Headers de OWASP][spotlight24]'.
+
+OSHP proporciona enlaces a [bibliotecas][oshp-libs] de desarrollo que proveen cabeceras de respuesta HTTP seguras
+en una variedad de lenguajes y frameworks: DotNet, Go, HAPI, Java, NodeJS, PHP, Python, Ruby, Rust.
+El OSHP también enumera [varias herramientas][oshp-tools] útiles para la inspección, análisis
+y escaneo de cabeceras de respuesta HTTP.
+
+----
+
+Traducción de versión [original en inglés][en070303].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue070303] o [edítelo en GitHub][edit070303].
+
+[edit070303]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/03-secure-libraries/03-secure-headers.md
+[en070303]: https://devguide.owasp.org/en/05-implementation/03-secure-libraries/03-secure-headers/
+[issue070303]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/03-secure-libraries/03-secure-headers
+[oshp]: https://owasp.org/www-project-secure-headers/
+[oshp-libs]: https://owasp.org/www-project-secure-headers/#development-libraries
+[oshp-tools]: https://owasp.org/www-project-secure-headers/#analysis-tools
+[spotlight24]: https://youtu.be/N4F3VWQYU9E
+
+\newpage
diff --git a/docs/es/05-implementation/03-secure-libraries/index.md b/docs/es/05-implementation/03-secure-libraries/index.md
new file mode 100644
index 00000000..9d55bde7
--- /dev/null
+++ b/docs/es/05-implementation/03-secure-libraries/index.md
@@ -0,0 +1,23 @@
+{ align=right width=180 }
+
+El uso de bibliotecas seguras es parte de la gestión tecnológica que ayuda a cumplir con los requisitos de seguridad.
+Las bibliotecas estándar permiten la adopción de patrones de diseño comunes y soluciones de seguridad,
+y proporcionan tecnologías y marcos estandarizados que pueden utilizarse en diferentes aplicaciones.
+
+La [Gestión Tecnológica][sammdsatm] para las aplicaciones de software es descrita por SAMM como una actividad
+dentro de la práctica de seguridad [Arquitectura de Seguridad][sammdsa] de SAMM,
+que a su vez es parte de la función empresarial de [Diseño][sammd].
+
+----
+
+Traducción de versión [original en inglés][en0703].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0703] o [edítelo en GitHub][edit0703].
+
+[edit0703]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/03-secure-libraries/index.md
+[en0703]: https://devguide.owasp.org/en/05-implementation/03-secure-libraries/
+[issue0703]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2005-implementation/03-secure-libraries/index
+[sammd]: https://owaspsamm.org/model/design/
+[sammdsa]: https://owaspsamm.org/model/design/secure-architecture/
+[sammdsatm]: https://owaspsamm.org/model/design/secure-architecture/stream-b/
diff --git a/docs/es/05-implementation/04-maswe.md b/docs/es/05-implementation/04-maswe.md
new file mode 100644
index 00000000..9496db7b
--- /dev/null
+++ b/docs/es/05-implementation/04-maswe.md
@@ -0,0 +1,77 @@
+{ align=right width=180 }
+
+El proyecto insignia de OWASP [Seguridad de Aplicaciones Móviles][masproject] (MAS)
+proporciona estándares de la industria para la seguridad de aplicaciones móviles.
+
+El proyecto OWASP [MASWE][maswe] es una de las herramientas proporcionadas por MAS,
+y ofrece una lista de debilidades que se han encontrado en varias aplicaciones móviles.
+
+#### ¿Qué es el MASWE?
+
+La [Enumeración de Debilidades][maswe] de MAS lista debilidades y, por lo tanto, posibles vulnerabilidades,
+que se han encontrado en varias aplicaciones móviles a lo largo del tiempo.
+
+El MASWE se divide en categorías de debilidades que corresponden a las categorías de verificación de [MASVS][masvs]:
+
+* [MASVS-STORAGE](https://mas.owasp.org/MASWE/MASVS-STORAGE/MASWE-0001/) almacenamiento de datos sensibles
+* [MASVS-CRYPTO](https://mas.owasp.org/MASWE/MASVS-CRYPTO/MASWE-0009/) mejores prácticas de criptografía
+* [MASVS-AUTH](https://mas.owasp.org/MASWE/MASVS-AUTH/MASWE-0028/) mecanismos de autenticación y autorización
+* [MASVS-NETWORK](https://mas.owasp.org/MASWE/MASVS-NETWORK/MASWE-0047/) comunicaciones de red
+* [MASVS-PLATFORM](https://mas.owasp.org/MASWE/MASVS-PLATFORM/MASWE-0053/) interacciones con la plataforma móvil
+* [MASVS-CODE](https://mas.owasp.org/MASWE/MASVS-CODE/MASWE-0075/) plataforma y software de terceros
+* [MASVS-RESILIENCE](https://mas.owasp.org/MASWE/MASVS-RESILIENCE/MASWE-0089/) integridad
+ y ejecución en una plataforma confiable
+* [MASVS-PRIVACY](https://mas.owasp.org/MASWE/MASVS-PRIVACY/MASWE-0108/) privacidad de usuarios, datos y recursos
+
+#### ¿Por qué usarlo?
+
+Aunque el MASWE es un proyecto relativamente nuevo desde 2024, ya proporciona un lenguaje común
+para discutir y categorizar debilidades encontradas en aplicaciones móviles.
+También proporciona una lista de posibles vulnerabilidades que deben considerarse durante el ciclo de vida del diseño
+y al crear o revisar requisitos de seguridad para aplicaciones móviles.
+
+El MASWE es una valiosa lista de lo que podría salir mal con las aplicaciones móviles junto
+con las actividades de actores maliciosos.
+
+#### Cómo usarlo
+
+La Enumeración de Debilidades Comunes ([CWE][cwe]), publicada por MITRE, puede ser utilizada por arquitectos de seguridad
+para que estén conscientes de qué debilidades y vulnerabilidades potenciales podrían estar presentes en una aplicación.
+Los equipos de desarrollo pueden usar el CWE como referencia para estas debilidades
+y para ayudar a comprender cualquier mitigación.
+Estos son solo dos ejemplos de cómo se utiliza ampliamente el CWE.
+
+De manera similar, el MASWE puede utilizarse en el desarrollo de aplicaciones móviles para:
+
+* informar a los equipos de desarrollo sobre debilidades específicas
+* identificación de requisitos de seguridad
+* utilizarse como ayuda para la capacitación
+* proporcionar categorización de debilidades
+
+Esta lista es solo un punto de partida; hay muchos usos para el MASWE.
+
+#### Referencias
+
+* Proyecto de Seguridad de Aplicaciones Móviles ([MAS][masproject])
+* Enumeración de Debilidades MAS ([MASWE][maswe])
+* Enumeración de Debilidades Comunes de MITRE ([CWE][cwe])
+* Estándar de Verificación MAS ([MASVS][masvs])
+* Lista de Verificación [MAS][masc]
+* Guía de Pruebas MAS ([MASTG][mastg])
+
+----
+
+Traducción de versión [original en inglés][en0704].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0704] o [edítelo en GitHub][edit0704].
+
+[cwe]: https://cwe.mitre.org/
+[edit0704]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/04-maswe.md
+[en0704]: https://devguide.owasp.org/en/05-implementation/04-maswe/
+[issue0704]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2005-implementation/04-maswe
+[masproject]: https://owasp.org/www-project-mobile-app-security/
+[masc]: https://mas.owasp.org/checklists/
+[mastg]: https://mas.owasp.org/MASTG/
+[maswe]: https://mas.owasp.org/MASWE/
+[masvs]: https://mas.owasp.org/MASVS/
diff --git a/docs/es/05-implementation/index.md b/docs/es/05-implementation/index.md
new file mode 100644
index 00000000..9c6a4aae
--- /dev/null
+++ b/docs/es/05-implementation/index.md
@@ -0,0 +1,43 @@
+{ align=right width=180 }
+
+## 5. Implementación
+
+La función de negocio [Implementación][sammi] está descrita por
+el [Modelo de Madurez de Aseguramiento de Software][sammm] (SAMM) de OWASP.
+La Implementación se centra en los procesos y actividades relacionadas con la manera en que una organización
+construye y despliega componentes de software y sus defectos relacionados.
+Las actividades de Implementación tienen el mayor impacto en la vida diaria de los desarrolladores,
+y un objetivo importante de la Implementación es entregar software que funcione de manera confiable
+con un mínimo de defectos.
+
+La Implementación debe incluir prácticas de seguridad como:
+
+* Construcción Segura
+* Despliegue Seguro
+* Gestión de Defectos
+
+La Implementación es donde la aplicación/sistema comienza a tomar forma; se escribe el código fuente y se crean las pruebas.
+La implementación de la aplicación sigue un ciclo de vida de desarrollo seguro, con seguridad incorporada desde el inicio.
+
+La implementación utilizará un método seguro de control y almacenamiento del código fuente
+para cumplir con los requisitos de seguridad del diseño.
+El equipo de desarrollo se referirá a la documentación que aconseja sobre las mejores prácticas,
+utilizará bibliotecas seguras siempre que sea posible,
+además de verificar y realizar seguimiento de las dependencias externas.
+
+Gran parte de la habilidad de implementación proviene de la experiencia,
+y tener en cuenta lo que se debe hacer y lo que no se debe hacer
+durante el desarrollo seguro es en sí misma una actividad de conocimiento importante.
+
+----
+
+Traducción de versión [original en inglés][en0700].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0700] o [edítelo en GitHub][edit0700].
+
+[edit0700]: https://github.com/OWASP/DevGuide/blob/main/docs/es/05-implementation/index.md
+[en0700]: https://devguide.owasp.org/en/05-implementation/
+[issue0700]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2005-implementation/index
+[sammm]: https://owaspsamm.org/model/
+[sammi]: https://owaspsamm.org/model/implementation/
diff --git a/docs/es/06-verification/01-guides/01-wstg.md b/docs/es/06-verification/01-guides/01-wstg.md
new file mode 100644
index 00000000..1e527b47
--- /dev/null
+++ b/docs/es/06-verification/01-guides/01-wstg.md
@@ -0,0 +1,91 @@
+La [Guía de Testeo de Seguridad Web][wstg] (WSTG) de OWASP es una guía completa para probar la seguridad de
+aplicaciones web y servicios web.
+
+El proyecto de [documentación WSTG][wstg] es un Proyecto Insignia de OWASP
+y se puede acceder como un [documento basado en web][wstg-latest].
+
+#### ¿Qué es WSTG?
+
+El documento Guía de Testeo de Seguridad Web ([WSTG][wstg]) es una guía completa para probar la seguridad
+de aplicaciones web y servicios web.
+La WSTG proporciona un marco de mejores prácticas comúnmente utilizadas por testeadores de penetración externos
+y organizaciones que realizan pruebas internas.
+
+El documento WSTG describe un [marco de pruebas de aplicaciones web][wstg-framework] sugerido
+y también proporciona información general sobre [cómo probar][wstg-howto] aplicaciones web con buenas prácticas de prueba.
+
+Las pruebas se dividen en dominios:
+
+1. Gestión de Configuración y Despliegue
+2. Gestión de Identidad
+3. Autenticación
+4. Autorización
+5. Gestión de Sesiones
+6. Validación de Entrada
+7. Manejo de Errores
+8. Criptografía Débil
+9. Lógica de Negocio
+10. Del lado del Cliente
+11. API
+
+Cada prueba en cada dominio tiene suficiente información para entender y ejecutar la prueba, incluyendo:
+
+* Descripción resumida
+* Objetivos de la prueba
+* Cómo realizar la prueba
+* Remediación sugerida
+* Herramientas recomendadas y referencias
+
+Las pruebas se identifican con un número de referencia único,
+por ejemplo, 'WSTG-APIT-01' se refiere a la primera prueba en el dominio 'Pruebas de API' proporcionada
+en el documento WSTG.
+Estas referencias son ampliamente utilizadas y comprendidas por las comunidades de pruebas y seguridad.
+
+La WSTG también proporciona un Marco de Pruebas de Seguridad Web sugerido que pueden ser adaptados
+a los procesos de una organización particular o puede proporcionar un marco de referencia generalmente aceptado.
+
+#### ¿Por qué usarla?
+
+El documento WSTG es ampliamente utilizado y se ha convertido en el estándar de facto sobre
+lo que se requiere para pruebas completas de aplicaciones web.
+El proceso de pruebas de seguridad de una organización debería considerar el contenido de la WSTG, o tener equivalentes,
+que ayuden a la organización a ajustarse a la expectativa general de la comunidad de seguridad.
+El documento de referencia WSTG puede ser adoptado completamente, parcialmente o no adoptarse en absoluto;
+según las necesidades y requisitos de una organización.
+
+#### Cómo utilizarla
+
+La serie OWASP Spotlight proporciona una descripción general de cómo utilizar la WSTG:
+'Proyecto 1 - [Aplicando la Guía de Pruebas de OWASP][spotlight01]'.
+
+Se puede acceder a la WSTG a través del [documento web en línea][wstg-latest].
+La sección sobre principios y técnicas de pruebas proporciona conocimientos fundamentales,
+junto con consejos sobre pruebas dentro de metodologías típicas del Ciclo de Vida de Desarrollo Seguro (SDLC)
+y pruebas de penetración.
+
+Las pruebas individuales descritas en los diversos dominios de prueba deben ser seleccionadas
+o descartadas según sea necesario;
+no todas las pruebas serán relevantes para cada aplicación web o requisito organizacional,
+y las pruebas deben adaptarse para proporcionar al menos la cobertura mínima de pruebas
+sin gastar demasiado esfuerzo en las pruebas.
+
+#### Referencias
+
+* Proyecto OWASP [Guía de Pruebas de Seguridad Web][wstg] (WSTG)
+* [Descargas de WSTG][wstg-latest]
+
+----
+
+Traducción de versión [original en inglés][en080101].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambios,
+[cree un issue][issue080101] o [edítelo en GitHub][edit080101].
+
+[edit080101]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/01-guides/01-wstg.md
+[en080101]: https://devguide.owasp.org/en/06-verification/01-guides/01-wstg/
+[issue080101]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/01-guides/01-wstg
+[spotlight01]: https://youtu.be/bxQPePVDbQk
+[wstg]: https://owasp.org/www-project-web-security-testing-guide/
+[wstg-framework]: https://owasp.org/www-project-web-security-testing-guide/latest/3-The_OWASP_Testing_Framework/0-The_Web_Security_Testing_Framework
+[wstg-howto]: https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/
+[wstg-latest]: https://owasp.org/www-project-web-security-testing-guide/stable/
diff --git a/docs/es/06-verification/01-guides/02-mastg.md b/docs/es/06-verification/01-guides/02-mastg.md
new file mode 100644
index 00000000..3982074c
--- /dev/null
+++ b/docs/es/06-verification/01-guides/02-mastg.md
@@ -0,0 +1,72 @@
+{ align=right width=180 }
+
+El [Estándar de Verificación MAS][masvs] (MASVS) explica los procesos, técnicas
+y herramientas utilizadas para las pruebas de seguridad de una aplicación móvil.
+
+El proyecto [MAS][mas] de OWASP proporciona la [Guía de Pruebas de Seguridad de Aplicaciones Móviles][mastg] (MASTG)
+que describe los procesos técnicos que pueden utilizarse para la verificación de los controles de aplicaciones móviles.
+
+#### ¿Qué es MASTG?
+
+La [Guía de Pruebas de Seguridad de Aplicaciones Móviles][mastg] de OWASP es un manual completo
+para pruebas de seguridad y ingeniería inversa de aplicaciones móviles.
+Describe los procesos técnicos utilizados para verificar los controles enumerados en el OWASP MASVS.
+
+La guía MASTG proporciona varios recursos para probar los controles:
+
+* Secciones que detallan los conceptos y teoría detrás de las pruebas de las plataformas Android e iOS
+* Listas de [pruebas][mastgtests] para cada sección del [MASVS][masvs]
+* Descripciones de [técnicas][mastgtechs] para Android o iOS utilizadas durante las pruebas
+* Listas de [herramientas][mastgtools] genéricas y también específicas para Android o iOS
+* [Aplicaciones][mastgapps] de referencia que pueden utilizarse como material educativo
+
+#### ¿Por qué usar MASTG?
+
+El OWASP MASVS es el estándar de la industria para [seguridad de aplicaciones móviles][csmas],
+y proporciona una lista de controles de seguridad que se esperan en una aplicación móvil.
+Si la aplicación no implementa estos controles correctamente, podría ser vulnerable;
+la guía MASTG prueba que la aplicación tiene los controles enumerados en el MASVS.
+
+#### Cómo utilizar MASTG
+
+La serie OWASP Spotlight proporciona una descripción general del uso de la MASTG:
+'Proyecto 13 - [Guía de Pruebas de Seguridad Móvil de OWASP (MSTG)][spotlight13]'.
+
+El proyecto MASTG contiene una gran cantidad de recursos que pueden utilizarse durante la verificación
+y pruebas de aplicaciones móviles; seleccione los recursos que sean aplicables a la aplicación específica.
+
+* Consulte la sección de MASTG sobre los conceptos y teoría para asegurar una buena comprensión del proceso de prueba
+* Seleccione las [pruebas MASTG][mastgtests] que sean aplicables a la aplicación y su plataforma de Sistema Operativo
+* Utilice la sección sobre [técnicas MASTG][mastgtechs] para ejecutar correctamente las pruebas seleccionadas
+* Familiarícese con la gama de [herramientas MASTG][mastgtools] disponibles y seleccione las que necesita
+* Utilice las [Listas de Verificación MAS][masc] para proporcionar evidencia de cumplimiento
+
+#### Referencias
+
+* Proyecto OWASP [Seguridad de Aplicaciones Móviles][masproject] (MAS)
+* [Guía de Pruebas MAS][mastg] (MASTG) de OWASP
+* [Listas de Verificación MAS][masc] de OWASP
+* [Estándar de Verificación MAS][masvs] (MASVS) de OWASP
+* Hoja de Referencia de OWASP para [Seguridad de Aplicaciones Móviles][csmas]
+
+----
+
+Traducción de versión [original en inglés][en080102].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambios,
+[envíe un issue][issue080102] o [edite en GitHub][edit080102].
+
+[csmas]: https://cheatsheetseries.owasp.org/cheatsheets/Mobile_Application_Security_Cheat_Sheet
+[edit080102]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/01-guides/02-mastg.md
+[en080102]: https://devguide.owasp.org/en/06-verification/01-guides/02-mastg/
+[issue080102]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2006-verification/01-guides/02-mastg
+[mas]: https://mas.owasp.org/
+[masproject]: https://owasp.org/www-project-mobile-app-security/
+[masc]: https://mas.owasp.org/checklists/
+[mastg]: https://mas.owasp.org/MASTG/
+[mastgapps]: https://mas.owasp.org/MASTG/apps/
+[mastgtests]: https://mas.owasp.org/MASTG/tests/
+[mastgtechs]: https://mas.owasp.org/MASTG/techniques/
+[mastgtools]: https://mas.owasp.org/MASTG/tools/
+[masvs]: https://mas.owasp.org/MASVS/
+[spotlight13]: https://youtu.be/b07OQd5KSrs
diff --git a/docs/es/06-verification/01-guides/03-asvs.md b/docs/es/06-verification/01-guides/03-asvs.md
new file mode 100644
index 00000000..803a28d4
--- /dev/null
+++ b/docs/es/06-verification/01-guides/03-asvs.md
@@ -0,0 +1,111 @@
+{ align=right width=180 }
+
+El [Estándar de Verificación de Seguridad de Aplicaciones][asvs] (ASVS)
+es un proyecto insignia de OWASP establecido desde hace tiempo,
+y es ampliamente utilizado como guía durante la verificación de aplicaciones web.
+
+Se puede descargar desde la [página del proyecto OWASP][asvs] en varios idiomas y formatos:
+PDF, Word, CSV, XML y JSON. Dicho esto, la forma recomendada de consumir el ASVS es acceder
+directamente a las [páginas markdown en GitHub][asvsmd] - esto asegurará que se use la versión más reciente.
+
+#### ¿Qué es ASVS?
+
+El ASVS es un estándar abierto que establece la cobertura y el "nivel de rigor" esperado cuando se trata de
+realizar la verificación de seguridad de aplicaciones web.
+El estándar también proporciona una base para el testeo de cualquier control técnico de seguridad
+que se utilice para proteger contra vulnerabilidades en la aplicación.
+
+El ASVS se divide en varias secciones:
+
+* V1 [Arquitectura, Diseño y Modelado de Amenazas][asvsV1]
+* V2 [Autenticación][asvsV2]
+* V3 [Gestión de Sesiones][asvsV3]
+* V4 [Control de Acceso][asvsV4]
+* V5 [Validación, Sanitización y Codificación][asvsV5]
+* V6 [Criptografía Almacenada][asvsV6]
+* V7 [Manejo de Errores y Registro de actividad][asvsV7]
+* V8 [Protección de Datos][asvsV8]
+* V9 [Comunicación][asvsV9]
+* V10 [Código Malicioso][asvsV10]
+* V11 [Lógica de Negocio][asvsV11]
+* V12 [Archivos y Recursos][asvsV12]
+* V13 [API y Servicios Web][asvsV13]
+* V14 [Configuración][asvsV14]
+
+El ASVS define tres [niveles de verificación de seguridad][asvsL123]:
+
+1. aplicaciones que solo necesitan niveles bajos de garantía;
+ estas aplicaciones son completamente comprobables mediante pruebas de penetración
+2. aplicaciones que contienen datos sensibles que requieren protección;
+ el nivel recomendado para la mayoría de las aplicaciones
+3. las aplicaciones más críticas que requieren el más alto nivel de confianza
+
+La mayoría de las aplicaciones apuntarán al Nivel 2,
+con solo aquellas aplicaciones que realizan transacciones de alto valor,
+o contienen datos médicos sensibles, aspirando al más alto nivel de confianza de nivel 3.
+
+#### ¿Por qué usarlo?
+
+El ASVS es utilizado por muchas organizaciones como base para la verificación de sus aplicaciones web.
+Está bien establecido, las primeras versiones fueron escritas en 2008, y ha tenido continuo mantenimiento desde entonces.
+
+El ASVS es exhaustivo, por ejemplo, la versión 4.0.3 tiene una lista de 286 requisitos de verificación,
+y estos requisitos de verificación han sido creados y acordados por una amplia comunidad de seguridad.
+Usar el ASVS como guía proporciona una base sólida para el proceso de verificación.
+
+#### Cómo utilizarlo
+
+La serie OWASP Spotlight proporciona una descripción general del ASVS y sus usos:
+'Proyecto 19 - [Estándar OWASP de Verificación de Seguridad de Aplicaciones (ASVS)][spotlight19]'.
+
+El ASVS debe usarse como guía para el proceso de verificación, eligiendo el nivel apropiado de verificación entre:
+
+* Nivel 1: Primeros pasos, automatizado, o vista de todo el portafolio
+* Nivel 2: La mayoría de las aplicaciones
+* Nivel 3: Alto valor, alta garantía o alta seguridad
+
+Use el ASVS como orientación en lugar de intentar implementar todos los controles posibles.
+Herramientas como [SecurityRAT][srat] pueden ayudar a crear un subconjunto más manejable de los requisitos del ASVS.
+
+La guía ASVS ayudará a los desarrolladores a construir controles de seguridad
+que satisfarán los requisitos de seguridad de la aplicación.
+
+Las Hojas de Referencia de OWASP han sido indexadas específicamente para [cada sección del ASVS][csasvs],
+que pueden usarse como documentación para ayudar a decidir si una categoría de requisitos debe incluirse en la verificación.
+
+#### Referencias
+
+* [Estándar OWASP de Verificación de Seguridad de Aplicaciones][asvs] (ASVS)
+* [Índice ASVS][csasvs] de OWASP
+* Proyecto [SecurityRAT][srat] de OWASP
+
+----
+
+Traducción de versión [original en inglés][en080103].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse
+entonces [cree un issue][issue080103] o [edítelo en GitHub][edit080103].
+
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[asvsL123]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x03-Using-ASVS.md#application-security-verification-levels
+[asvsmd]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x00-Header.md
+[asvsV1]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x10-V1-Architecture.md#v1-architecture-design-and-threat-modeling
+[asvsV2]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x11-V2-Authentication.md#v2-authentication
+[asvsV3]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x12-V3-Session-management.md#v3-session-management
+[asvsV4]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x12-V4-Access-Control.md#v4-access-control
+[asvsV5]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x13-V5-Validation-Sanitization-Encoding.md#v5-validation-sanitization-and-encoding
+[asvsV6]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x14-V6-Cryptography.md#v6-stored-cryptography
+[asvsV7]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x15-V7-Error-Logging.md#v7-error-handling-and-logging
+[asvsV8]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x16-V8-Data-Protection.md#v8-data-protection
+[asvsV9]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x17-V9-Communications.md#control-objective
+[asvsV10]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x18-V10-Malicious.md#v10-malicious-code
+[asvsV11]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x19-V11-BusLogic.md#v11-business-logic
+[asvsV12]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x20-V12-Files-Resources.md#v12-files-and-resources
+[asvsV13]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x21-V13-API.md#v13-api-and-web-service
+[asvsV14]: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/en/0x22-V14-Config.md#v14-configuration
+[csasvs]: https://cheatsheetseries.owasp.org/IndexASVS.html
+[edit080103]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/01-guides/03-asvs.md
+[en080103]: https://devguide.owasp.org/en/06-verification/01-guides/03-asvs/
+[issue080103]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2006-verification/01-guides/03-asvs
+[spotlight19]: https://youtu.be/3puIavsZfAk
+[srat]: https://owasp.org/www-project-securityrat/
diff --git a/docs/es/06-verification/01-guides/index.md b/docs/es/06-verification/01-guides/index.md
new file mode 100644
index 00000000..893389c5
--- /dev/null
+++ b/docs/es/06-verification/01-guides/index.md
@@ -0,0 +1,25 @@
+{ align=right width=180 }
+
+[Verificación][sammv] es una de las funciones de negocio descritas por [OWASP SAMM][samm].
+Las actividades de verificación son exhaustivas, e incluirán:
+
+* Pruebas de controles de seguridad
+* Revisión de controles y mecanismos de seguridad
+* Evaluación y valoración de la arquitectura de seguridad
+* y otros
+
+Dada la amplitud de técnicas y conocimientos requeridos, las guías son un recurso importante
+para las actividades de verificación.
+
+----
+
+Traducción de versión [original en inglés][en0810].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0810] o [edítelo en GitHub][edit0810].
+
+[edit0810]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/01-guides/index.md
+[en0810]: https://devguide.owasp.org/en/06-verification/01-guides/
+[issue0810]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/01-guides/index
+[samm]: https://owaspsamm.org/about/
+[sammv]: https://owaspsamm.org/model/verification/
diff --git a/docs/es/06-verification/02-tools/01-dast.md b/docs/es/06-verification/02-tools/01-dast.md
new file mode 100644
index 00000000..79f2f27c
--- /dev/null
+++ b/docs/es/06-verification/02-tools/01-dast.md
@@ -0,0 +1,56 @@
+Las pruebas dinámicas de seguridad de aplicaciones (DAST) representan un proceso de prueba no funcional
+para identificar debilidades de seguridad y vulnerabilidades en aplicaciones.
+El proceso de prueba puede realizarse manualmente o automatizarse.
+La evaluación manual de una aplicación implica intervención humana para identificar fallos de seguridad
+que podrían pasar desapercibidos para una herramienta automatizada.
+Normalmente, los errores de lógica de negocio, verificaciones de condiciones de carrera
+y ciertas vulnerabilidades de día cero solo pueden identificarse mediante evaluaciones manuales.
+
+### 6.2.1 Herramientas DAST
+
+Las herramientas DAST son programas que se comunican con una aplicación web a través de la interfaz web
+para identificar posibles vulnerabilidades de seguridad en la aplicación web y debilidades arquitectónicas.
+Realizan pruebas de caja negra. A diferencia de las herramientas de pruebas estáticas de seguridad de aplicaciones,
+las herramientas DAST no tienen acceso al código fuente y, por lo tanto,
+detectan vulnerabilidades realizando ataques reales.
+
+#### Diferentes herramientas DAST
+
+La Comunidad OWASP contiene una [lista de herramientas DAST][dast] que pueden utilizarse para realizar DAST.
+Todas estas herramientas tienen sus propias fortalezas y debilidades.
+Si está interesado en la efectividad de las herramientas DAST, consulte el proyecto [OWASP Benchmark][benchmark],
+que intenta medir científicamente la efectividad de todos los tipos de herramientas de detección de vulnerabilidades,
+incluyendo DAST.
+
+#### ¿Por qué utilizarlas?
+
+La gran ventaja de este tipo de herramientas es que pueden escanear
+durante todo el año para buscar constantemente vulnerabilidades.
+Con nuevas vulnerabilidades siendo descubiertas regularmente, esto permite a las empresas encontrar
+y parchar vulnerabilidades antes de que puedan ser explotadas.
+
+#### Contras
+
+Debido a que estas herramientas realizan pruebas dinámicas, no pueden cubrir el 100% del código fuente de la aplicación y,
+por tanto, la aplicación en sí misma.
+El evaluador de penetración debe observar la cobertura de la aplicación web o de su superficie de ataque
+para saber si la herramienta se configuró correctamente o si fue capaz de entender la aplicación web.
+
+#### Referencias
+
+* [Pruebas dinámicas de seguridad de aplicaciones][wikipedia]
+* [Herramientas de Escaneo de Vulnerabilidades][dast]
+
+----
+
+Traducción de versión [original en inglés][en080201].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si hay algo que necesita cambios, [cree un issue][issue080201] o [edítelo en GitHub][edit080201].
+
+[benchmark]: https://owasp.org/www-project-benchmark/
+[dast]: https://owasp.org/www-community/Vulnerability_Scanning_Tools
+[edit080201]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/02-tools/01-dast.md
+[en080201]: https://devguide.owasp.org/en/06-verification/02-tools/01-dast/
+[issue080201]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/02-tools/01-dast
+[wikipedia]: https://en.wikipedia.org/wiki/Dynamic_application_security_testing
diff --git a/docs/es/06-verification/02-tools/02-amass.md b/docs/es/06-verification/02-tools/02-amass.md
new file mode 100644
index 00000000..938d69db
--- /dev/null
+++ b/docs/es/06-verification/02-tools/02-amass.md
@@ -0,0 +1,60 @@
+{ align=right width=80 }
+
+OWASP Amass es una herramienta que proporciona gestión de superficie de ataque para los sitios web
+y aplicaciones de una organización.
+Se utiliza durante pruebas de penetración para el mapeo de redes de superficies de ataque
+y descubrimiento de activos externos mediante la integración de varias herramientas de seguridad existentes.
+
+El [proyecto atacante/herramienta][amass] Amass es un Proyecto Insignia de OWASP y los instaladores pueden
+descargarse desde el [área de versiones][amass-download] del repositorio github del proyecto.
+
+#### ¿Qué es Amass?
+
+Amass es una herramienta de línea de comandos que proporciona información sobre los sitios web de una organización,
+utilizando varias herramientas de recopilación de información de código abierto y técnicas de reconocimiento activo.
+
+Se ejecuta desde la línea de comandos con [subcomandos][amass-docs]:
+
+1. 'amass intel' recopila inteligencia sobre la organización objetivo
+2. 'amass enum' realiza enumeración DNS y mapeo de red para poblar la base de datos de resultados
+3. 'amass db'
+
+Cada comando viene con un amplio conjunto de opciones que controlan las herramientas utilizadas
+y el formato de los hallazgos.
+
+#### ¿Por qué utilizarla?
+
+Amass es una herramienta importante para los equipos de testeo de seguridad.
+Amass está incluida en la distribución [Kali Linux][kali],
+que es ampliamente utilizada por equipos de pruebas de penetración, con Amass proporcionando una forma sencilla
+de ejecutar un amplio conjunto de herramientas de reconocimiento y enumeración.
+
+Además, Amass es una herramienta de fácil uso que está disponible tanto para equipos de pruebas legítimos
+como para actores maliciosos.
+Es muy probable que cualquier organización haya sido escaneada y enumerada por Amass en algún momento,
+ya sea maliciosamente o legítimamente,
+por lo que es importante ejecutar la herramienta para determinar qué información puede obtener un actor malicioso.
+
+#### Cómo utilizarla
+
+Si se está utilizando [Kali Linux][kali], entonces Amass viene ya instalado,
+de lo contrario, existe un amplio conjunto de [instaladores][amass-install] para otras plataformas.
+
+El extenso [tutorial de Amass][amass-tutorial] proporciona la mejor manera de aprender a usar Amass y sus características.
+
+----
+
+Traducción de versión [original en inglés][en080202].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambios,
+[cree un issue][issue080202] o [edítelo en GitHub][edit080202].
+
+[amass]: https://owasp.org/www-project-amass/
+[amass-docs]: https://github.com/owasp-amass/amass/blob/master/doc/user_guide.md
+[amass-download]: https://github.com/owasp-amass/amass/releases
+[amass-install]: https://github.com/owasp-amass/amass/blob/master/doc/install.md
+[amass-tutorial]: https://github.com/owasp-amass/amass/blob/master/doc/tutorial.md
+[edit080202]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/02-tools/02-amass.md
+[en080202]: https://devguide.owasp.org/en/06-verification/02-tools/02-amass/
+[issue080202]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/02-tools/02-amass
+[kali]: https://www.kali.org/
diff --git a/docs/es/06-verification/02-tools/03-owtf.md b/docs/es/06-verification/02-tools/03-owtf.md
new file mode 100644
index 00000000..1c7ffac3
--- /dev/null
+++ b/docs/es/06-verification/02-tools/03-owtf.md
@@ -0,0 +1,52 @@
+{ align=right width=80 }
+
+El framework ofensivo de pruebas OWASP - Offensive Web Testing Framework ([OWTF][owtf])
+es una herramienta de pruebas de penetración que proporciona a los evaluadores de penetración un marco para organizar
+y ejecutar conjuntos de pruebas de seguridad.
+También ayuda a alinear las pruebas de penetración con varios estándares y guías de seguridad,
+permitiendo que las pruebas sean más creativas y completas.
+
+El proyecto defensor/herramienta OWTF es un Proyecto Insignia de OWASP
+y puede ser descargado desde el [área de versiones][owtfdownload] del repositorio github del proyecto.
+
+#### ¿Qué es OWTF?
+
+La herramienta [OWTF][owtf] es un marco de pruebas de penetración utilizado para organizar
+y ejecutar conjuntos de herramientas de seguridad y pruebas de penetración.
+Está diseñada para ejecutarse en [Kali Linux][kali];
+también puede ejecutarse en MacOS pero con algunas modificaciones de scripts y rutas.
+
+OWTF es claramente una herramienta para evaluadores de penetración tambien llamados pentesters;
+existe la expectativa de que el usuario tenga una experiencia razonable
+y comprensión de los entornos y herramientas de pruebas de penetración.
+La [documentación][owtfdocs] sobre la instalación y ejecución de OWTF no es extensa,
+y se requiere un conocimiento profundo del sistema objetivo para configurar la herramienta.
+
+#### ¿Por qué utilizarla?
+
+[OWTF][owtf] es fácilmente configurable y se pueden crear complementos o añadir nuevas pruebas
+utilizando los archivos de configuración.
+Se puede instalar rápidamente en [Kali Linux][kali], una distribución de Ubuntu ampliamente utilizada
+por evaluadores de penetración,
+y permite dirigir todo un conjunto de pruebas contra el objetivo.
+
+#### Cómo utilizarla
+
+La [documentación][owtfdocs] de OWTF es relativamente antigua, actualizada por última vez en 2016,
+y las instrucciones de [instalación][owtfinstall] pueden necesitar adaptación para ejecutarse en MacOS o Kali.
+
+----
+
+Traducción de versión [original en inglés][en080203].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambios,
+[cree un issue][issue080203] o [edítelo en GitHub][edit080203].
+
+[edit080203]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/02-tools/03-owtf.md
+[en080203]: https://devguide.owasp.org/en/06-verification/02-tools/03-owtf/
+[issue080203]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/02-tools/03-owtf
+[kali]: https://www.kali.org/
+[owtfinstall]: https://owtf.readthedocs.io/en/develop/installation/methods.html
+[owtfdocs]: https://owtf.readthedocs.io/
+[owtfdownload]: https://github.com/owtf/owtf/releases
+[owtf]: https://owasp.org/www-project-owtf/
diff --git a/docs/es/06-verification/02-tools/04-nettacker.md b/docs/es/06-verification/02-tools/04-nettacker.md
new file mode 100644
index 00000000..bf5705c3
--- /dev/null
+++ b/docs/es/06-verification/02-tools/04-nettacker.md
@@ -0,0 +1,62 @@
+{ align=right width=180 }
+
+### 6.2.4 Nettacker
+
+OWASP Nettacker es una utilidad de línea de comandos para escaneo automatizado de redes y vulnerabilidades.
+Puede utilizarse durante pruebas de penetración tanto para evaluaciones de seguridad internas como externas de redes.
+
+El [proyecto atacante/herramienta][nettacker-project] Nettacker es un Proyecto Incubadora de OWASP;
+la última versión puede descargarse desde el [repositorio github][nettacker-install] del proyecto.
+
+#### ¿Qué es Nettacker?
+
+[Nettacker][nettacker-project] es una herramienta automatizada de pruebas de penetración.
+Se utiliza para escanear una red para descubrir nodos y servidores en la red, incluyendo subdominios.
+Nettacker puede luego identificar servidores, servicios y números de puerto en uso.
+
+Nettacker es una aplicación modular en Python que puede extenderse con otras funciones de escaneo.
+Los numerosos módulos disponibles están agrupados en dominios:
+
+* Módulos de [escaneo][nettacker-scan] para reconocimiento
+* Módulos de [vulnerabilidad][nettacker-vuln] que intentan exploits específicos
+* Módulos de [fuerza bruta][nettacker-brute]
+
+Nettacker se ejecuta en Windows, Linux y MacOS.
+
+#### ¿Por qué utilizarla?
+
+Nettacker es fácil de usar desde la línea de comandos, lo que facilita su uso en scripts,
+y también viene con una interfaz de navegador web para una fácil navegación de los resultados.
+Esto lo convierte en una forma rápida y confiable de obtener información de una red.
+
+Nettacker puede utilizarse tanto para fines de auditoría como para pruebas de penetración.
+
+#### Cómo utilizarla
+
+La serie OWASP Spotlight proporciona una descripción general de la gestión de superficie de ataque utilizando Nettacker:
+'Proyecto 11 - [Nettacker][spotlight11]'.
+
+La documentación para Nettacker se proporciona en las páginas wiki del repositorio;
+siga [estas instrucciones][nettacker-install] para instalarlo.
+
+Nettacker es una herramienta de escaneo flexible y modular que puede utilizarse de muchas formas y con muchas opciones.
+La mejor manera de comenzar a utilizarla es siguiendo el [video de introducción][nettacker-intro]
+y luego continuar desde allí.
+
+----
+
+Traducción de versión [original en inglés][en080204].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambios,
+[cree un issue][issue080204] o [edítelo en GitHub][edit080204].
+
+[edit080204]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/02-tools/04-nettacker.md
+[en080204]: https://devguide.owasp.org/en/06-verification/02-tools/04-nettacker/
+[issue080204]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/02-tools/04-nettacker
+[nettacker-brute]: https://github.com/OWASP/Nettacker/wiki/Modules#brute-modules
+[nettacker-install]: https://github.com/OWASP/Nettacker/wiki/Installation
+[nettacker-intro]: https://github.com/OWASP/Nettacker/wiki#introduction
+[nettacker-project]: https://owasp.org/www-project-nettacker/
+[nettacker-scan]: https://github.com/OWASP/Nettacker/wiki/Modules#scan-modules
+[nettacker-vuln]: https://github.com/OWASP/Nettacker/wiki/Modules#vuln-modules
+[spotlight11]: https://www.youtube.com/watch?v=OGv7OtG127A
diff --git a/docs/es/06-verification/02-tools/05-secure-headers.md b/docs/es/06-verification/02-tools/05-secure-headers.md
new file mode 100644
index 00000000..170d9ab7
--- /dev/null
+++ b/docs/es/06-verification/02-tools/05-secure-headers.md
@@ -0,0 +1,64 @@
+{ align=right width=140 }
+
+El Proyecto de Cabeceras Seguras de OWASP - OWASP Secure Headers Project ([OSHP][oshp]) proporciona información
+sobre las cabeceras de respuesta HTTP
+para aumentar la seguridad de una aplicación web.
+
+El proyecto de documentación OSHP es un Proyecto de Laboratorio de OWASP
+y concientiza sobre las cabeceras seguras y su uso.
+
+#### ¿Qué es OSHP?
+
+El [proyecto OSHP][oshp] proporciona explicaciones para las cabeceras de respuesta HTTP
+que una aplicación puede utilizar para aumentar la seguridad de la aplicación.
+Una vez establecidas, las cabeceras de respuesta HTTP pueden restringir a los navegadores modernos
+de incurrir en vulnerabilidades fácilmente prevenibles.
+
+OSHP contiene orientación y descargas sobre:
+
+* Explicaciones y uso de cabeceras de respuesta
+* Enlaces a soporte individual de navegadores
+* Orientación y mejores prácticas
+* Recursos técnicos en forma de herramientas y documentos
+* Fragmentos de código para ayudar a trabajar con cabeceras de seguridad HTTP
+
+#### ¿Por qué utilizarlo?
+
+El OSHP es un proyecto de documentación que explica el razonamiento y uso de las cabeceras de respuesta HTTP.
+Es el documento de referencia para orientación y mejores prácticas;
+la información sobre cabeceras de respuesta HTTP es el mejor consejo, en una sola ubicación, y se mantiene actualizada.
+
+#### Cómo utilizarlo
+
+La serie OWASP Spotlight proporciona una descripción general de este proyecto y sus usos:
+'Proyecto 24 - [OWASP Security Headers Project][spotlight24]'.
+
+OSHP documenta [varias herramientas][oshp-tools] útiles para la inspección, análisis
+y escaneo de cabeceras de respuesta HTTP:
+
+* hsecscan
+* humble
+* SecurityHeaders.com
+* Mozilla Observatory
+* Recx Security Analyser
+* testssl.sh
+* DrHEADer
+* csp-evaluator
+
+OSHP también proporciona enlaces a [bibliotecas][oshp-libs] de desarrollo
+que proporcionan cabeceras de respuesta HTTP seguras en una variedad de lenguajes y frameworks.
+
+----
+
+Traducción de versión [original en inglés][en080205].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambios,
+[cree un issue][issue080205] o [edítelo en GitHub][edit080205].
+
+[edit080205]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/02-tools/05-secure-headers.md
+[en080205]: https://devguide.owasp.org/en/06-verification/02-tools/05-secure-headers/
+[issue080205]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/02-tools/05-secure-headers
+[oshp]: https://owasp.org/www-project-secure-headers/
+[oshp-libs]: https://owasp.org/www-project-secure-headers/#development-libraries
+[oshp-tools]: https://owasp.org/www-project-secure-headers/#analysis-tools
+[spotlight24]: https://youtu.be/N4F3VWQYU9E
diff --git a/docs/es/06-verification/02-tools/index.md b/docs/es/06-verification/02-tools/index.md
new file mode 100644
index 00000000..b800ad18
--- /dev/null
+++ b/docs/es/06-verification/02-tools/index.md
@@ -0,0 +1,26 @@
+{ align=right width=180 }
+
+[Verificación][sammv] es una de las funciones de negocio descritas por [OWASP SAMM][samm].
+
+La actividad de [Testeo de Seguridad][sammvst] de SAMM describe el uso tanto de pruebas de seguridad automatizadas
+como pruebas de seguridad manuales por expertos para descubrir defectos de seguridad.
+Estas pruebas de seguridad deben ser automatizadas como parte de los procesos de desarrollo, construcción y despliegue;
+y pueden ser complementadas con pruebas manuales de seguridad de penetración de forma regular.
+
+Las herramientas automatizadas de pruebas de seguridad son rápidas y escalan bien para numerosas aplicaciones,
+mientras que las pruebas de seguridad manuales de componentes de alto riesgo requieren
+un buen conocimiento de la aplicación y su lógica de negocio.
+
+----
+
+Traducción de versión [original en inglés][en0820].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0820] o [edítelo en GitHub][edit0820].
+
+[edit0820]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/02-tools/index.md
+[en0820]: https://devguide.owasp.org/en/06-verification/02-tools/
+[issue0820]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/02-tools/index
+[samm]: https://owaspsamm.org/about/
+[sammv]: https://owaspsamm.org/model/verification/
+[sammvst]: https://owaspsamm.org/model/verification/security-testing/
diff --git a/docs/es/06-verification/03-frameworks/01-secure-codebox.md b/docs/es/06-verification/03-frameworks/01-secure-codebox.md
new file mode 100644
index 00000000..0c851e69
--- /dev/null
+++ b/docs/es/06-verification/03-frameworks/01-secure-codebox.md
@@ -0,0 +1,94 @@
+{ align=right width=250 }
+
+OWASP [secureCodeBox][codebox] es una cadena de herramientas modularizada basada en Kubernetes
+que proporciona escaneos de seguridad continuos de los proyectos y aplicaciones web de una organización.
+
+El [proyecto constructor/herramienta][codebox-project] secureCodeBox es un Proyecto de Laboratorio OWASP
+y se instala usando [Helm ChartMuseum][codebox-repo].
+
+#### ¿Qué es secureCodeBox?
+
+OWASP secureCodeBox combina herramientas de seguridad existentes en los dominios de análisis estático,
+análisis dinámico y análisis de red.
+Utiliza estas herramientas para proporcionar un panorama integral de las amenazas y vulnerabilidades
+que afectan a la red y las aplicaciones de una organización.
+
+OWASP secureCodeBox orquesta una variedad de herramientas de pruebas de seguridad en varios dominios:
+
+* Análisis de contenedores:
+ * Escáner de vulnerabilidades de contenedores Trivy
+ * Escáner de dependencias de contenedores Trivy SBOM
+
+* Análisis de Sistemas de Gestión de Contenido:
+ * CMSeeK para detectar el CMS Joomla y sus vulnerabilidades principales
+ * Typo3Scan para detectar el CMS Typo3 y sus extensiones instaladas
+ * WPScan escáner de vulnerabilidades de Wordpress
+
+* Análisis de Kubernetes:
+ * Kube Hunter escáner de vulnerabilidades
+ * Kubeaudit escáner de configuración
+
+* Análisis de red:
+ * Amass escáner de enumeración de subdominios
+ * doggo cliente DNS
+ * Ncrack fuerza bruta de autenticación de red
+ * Nmap descubrimiento de red y auditoría de seguridad
+ * Whatweb identificación de sitios web
+
+* Análisis de repositorios:
+ * Git Repo Scanner para descubrir repositorios Git
+ * Gitleaks para encontrar posibles secretos en repositorios
+ * Semgrep análisis estático de código
+
+* Escaneo de configuración y políticas SSH/TLS con SSH-audit y SSLyze
+
+* Análisis de aplicaciones web:
+ * ffuf descubrimiento de elementos y contenido de servidores web y aplicaciones web
+ * Nikto escáner de vulnerabilidades de servidores web
+ * Nuclei escáner de vulnerabilidades basado en plantillas
+ * Screenshooter toma capturas de pantalla de sitios web
+ * ZAP escáner avanzado de vulnerabilidades de aplicaciones web y OpenAPI
+
+Con el tiempo se pueden añadir otras herramientas.
+
+#### ¿Por qué usarlo?
+
+OWASP secureCodeBox proporciona la potencia de las principales herramientas de pruebas de seguridad de código abierto
+con una plataforma multi-escáner.
+Esto proporciona la capacidad de ejecutar escaneos rutinarios de forma continua y automática
+en la infraestructura de red y aplicaciones de una organización.
+
+OWASP secureCodeBox es completamente escalable y puede configurarse por separado
+para múltiples equipos, sistemas o clústeres.
+
+#### Cómo usarlo
+
+OWASP secureCodeBox se ejecuta en [Kubernetes][kube] y utiliza [Helm][helm] para la instalación
+usando [Helm ChartMuseum][codebox-repo].
+Hay una excelente guía, '[Iniciando tus primeros escaneos][codebox-start]' para comenzar con secureCodeBox,
+con el resto de la [documentación][codebox-docs] que proporciona información clara sobre la configuración
+y ejecución de secureCodeBox.
+
+#### Referencias
+
+* OWASP [secureCodeBox][codebox]
+* [Kubernetes][kube] orquestador de contenedores
+* [Helm][helm] gestor de paquetes para Kubernetes
+
+----
+
+Traducción de versión [original en inglés][en080301].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue080301] o [edítelo en GitHub][edit080301].
+
+[codebox]: https://www.securecodebox.io/
+[codebox-project]: https://owasp.org/www-project-securecodebox/
+[codebox-repo]: https://charts.securecodebox.io
+[codebox-start]: https://www.securecodebox.io/docs/getting-started/first-scans
+[codebox-docs]: https://www.securecodebox.io/docs/getting-started/installation
+[edit080301]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/03-frameworks/01-secure-codebox.md
+[helm]: https://helm.sh/
+[en080301]: https://devguide.owasp.org/en/06-verification/03-frameworks/
+[issue080301]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/03-frameworks/01-secure-codebox
+[kube]: https://kubernetes.io/
diff --git a/docs/es/06-verification/03-frameworks/index.md b/docs/es/06-verification/03-frameworks/index.md
new file mode 100644
index 00000000..7e94b2d4
--- /dev/null
+++ b/docs/es/06-verification/03-frameworks/index.md
@@ -0,0 +1,29 @@
+{ align=right width=180 }
+
+La [Verificación][sammv] es una de las funciones de negocio descritas por [OWASP SAMM][samm]
+y tanto las [Pruebas de Seguridad][sammvst] como las [Pruebas Basadas en Requisitos][sammvrt]
+son una parte importante de la verificación.
+
+Las pruebas de verificación pueden beneficiarse del uso de frameworks para apoyar pruebas de seguridad continuas
+y automatizadas.
+El uso de un framework puede proporcionar:
+
+* automatización de un pipeline de análisis de seguridad
+* flexibilidad para ejecutar una serie de herramientas en un pipeline
+* escalabilidad para múltiples escáneres de seguridad
+* interfaces de control
+
+----
+
+Traducción de versión [original en inglés][en0830].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0830] o [edítelo en GitHub][edit0830].
+
+[edit0830]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/03-frameworks/index.md
+[en0830]: https://devguide.owasp.org/en/06-verification/03-frameworks/
+[issue0830]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2006-verification/03-frameworks/index
+[samm]: https://owaspsamm.org/about/
+[sammv]: https://owaspsamm.org/model/verification/
+[sammvrt]: https://owaspsamm.org/model/verification/requirements-driven-testing/
+[sammvst]: https://owaspsamm.org/model/verification/security-testing/
diff --git a/docs/es/06-verification/04-vulnerability-management/01-defectdojo.md b/docs/es/06-verification/04-vulnerability-management/01-defectdojo.md
new file mode 100644
index 00000000..9b0586a8
--- /dev/null
+++ b/docs/es/06-verification/04-vulnerability-management/01-defectdojo.md
@@ -0,0 +1,80 @@
+{ align=right width=250 }
+
+OWASP [DefectDojo][defectdojo] es una herramienta DevSecOps para la gestión de vulnerabilidades.
+Proporciona una plataforma única para orquestar pruebas de seguridad end-to-end, seguimiento de vulnerabilidades,
+deduplicación, remediación e informes.
+
+DefectDojo es un [proyecto Flagship][defectdojo-project] de OWASP y está bien establecido;
+el proyecto se inició en 2013 y ha estado en desarrollo/lanzamiento continuo desde entonces.
+
+#### ¿Qué es DefectDojo?
+
+[DefectDojo][defectdojo] es una herramienta de gestión de vulnerabilidades de código abierto
+que optimiza el proceso de pruebas mediante la integración de plantillas,
+generación de informes, métricas y herramientas de autoservicio de línea base.
+
+DefectDojo optimiza el proceso de prueba a través de varios 'modelos' que un administrador
+puede manipular con código Python.
+Los modelos principales incluyen:
+
+* compromisos (engagements)
+* pruebas
+* hallazgos (findings)
+
+DefectDojo tiene modelos complementarios que facilitan:
+
+* métricas
+* autenticación
+* generación de informes
+* herramientas
+
+Una buena introducción a DefectDojo es la [discusión de We Hack Purple][purple] entre Matt Tesauro y Tanya Janca.
+
+#### ¿Por qué usarlo?
+
+DefectDojo se integra con muchas [herramientas][defectdojo-tools] de código abierto
+y propietarias/comerciales de varios dominios:
+
+* Pruebas de Seguridad de Aplicaciones Dinámicas (DAST)
+* Pruebas de Seguridad de Aplicaciones Estáticas (SAST)
+* Análisis de Composición de Software (SCA)
+* Listas de Materiales de Software (SBOMs)
+* Escaneo de infraestructura y APIs
+
+También se integra con la herramienta de modelado de amenazas [Threagile][threagile],
+y con el tiempo estarán disponibles más integraciones con herramientas de modelado de amenazas.
+
+#### Cómo usarlo
+
+Probar o instalar DefectDojo es muy fácil siguiendo las [instrucciones de instalación][defectdojo-install];
+la forma recomendada de ejecutar DefectDojo es usando un contenedor.
+
+Para configurar una instancia de DefectDojo, siga las instrucciones de [docker compose][defectdojo-docker] junto con
+los scripts asociados que manejan las dependencias, configuran la base de datos, crean usuarios, etc.
+Consulte la [documentación][defectdojo-docs] de DefectDojo para obtener más información sobre implementaciones alternativas,
+configuración, uso e integraciones.
+
+#### Referencias
+
+* OWASP [DefectDojo][defectdojo]
+* [Discusión de We Hack Purple][purple]
+* Modelado de Amenazas de [Threagile][threagile]
+
+----
+
+Traducción de versión [original en inglés][en080401].
+
+La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse,
+[cree un issue][issue080401] o [edítelo en GitHub][edit080401].
+
+[defectdojo]: https://www.defectdojo.com/
+[defectdojo-docs]: https://documentation.defectdojo.com/
+[defectdojo-docker]: https://github.com/DefectDojo/django-DefectDojo/blob/dev/readme-docs/DOCKER.md
+[defectdojo-install]: https://docs.defectdojo.com/en/about_defectdojo/new_user_checklist/
+[defectdojo-project]: https://owasp.org/www-project-defectdojo/
+[defectdojo-tools]: https://www.defectdojo.com/integrations
+[edit080401]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/04-vulnerability-management/01-defectdojo.md
+[en080401]: https://devguide.owasp.org/en/06-verification/04-vulnerability-management/
+[issue080401]: https://github.com/OWASP/DevGuide/issues/new?labels=content&template=request.md&title=Update:%2006-verification/04-vulnerability-management/01-defectdojo
+[purple]: https://www.youtube.com/watch?v=FMUrL3Jzmzg
+[threagile]: https://threagile.io
diff --git a/docs/es/06-verification/04-vulnerability-management/index.md b/docs/es/06-verification/04-vulnerability-management/index.md
new file mode 100644
index 00000000..23eda740
--- /dev/null
+++ b/docs/es/06-verification/04-vulnerability-management/index.md
@@ -0,0 +1,25 @@
+{ align=right width=180 }
+
+La [Verificación][sammv] es una de las funciones de negocio descritas por [OWASP SAMM][samm].
+La gestión de vulnerabilidades ayuda a mantener el nivel de seguridad de la aplicación
+después de correcciones de errores, cambios o durante el mantenimiento.
+
+La práctica de [Pruebas Basadas en Requisitos][sammvrt] de SAMM describe los resultados
+para una gestión de vulnerabilidades efectiva,
+y por qué es necesario tener estos procesos implementados.
+Por ejemplo, el uso de pruebas unitarias de seguridad para proporcionar pruebas de regresión
+da cierto grado de confianza de que las aplicaciones no son vulnerables a exploits conocidos.
+
+----
+
+Traducción de versión [original en inglés][en0840].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0840] o [edítelo en GitHub][edit0840].
+
+[edit0840]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/04-vulnerability-management/index.md
+[en0840]: https://devguide.owasp.org/en/06-verification/04-vulnerability-management/
+[issue0840]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2006-verification/04-vulnerability-management/index
+[samm]: https://owaspsamm.org/about/
+[sammv]: https://owaspsamm.org/model/verification/
+[sammvrt]: https://owaspsamm.org/model/verification/requirements-driven-testing/
diff --git a/docs/es/06-verification/index.md b/docs/es/06-verification/index.md
new file mode 100644
index 00000000..006bfabf
--- /dev/null
+++ b/docs/es/06-verification/index.md
@@ -0,0 +1,41 @@
+{ align=right width=180 }
+
+[Verificación][sammv] es una de las funciones de negocio descritas por [OWASP SAMM][samm].
+
+La verificación se centra en los procesos y actividades relacionados con cómo una organización comprueba
+y prueba los artefactos producidos durante el desarrollo de software.
+Esto típicamente incluye trabajo de aseguramiento de calidad como pruebas,
+y también incluye otras actividades de revisión y evaluación.
+
+Las actividades de verificación deberían incluir:
+
+* Evaluación, validación y mitigación de la arquitectura
+* Pruebas basadas en requisitos
+* Verificación de controles de seguridad y pruebas de mal uso/abuso
+* Pruebas de seguridad automatizadas y establecimiento de líneas base
+* Pruebas de seguridad manuales y pruebas de penetración
+
+Estas actividades están respaldadas por:
+
+* Guías de seguridad
+* Herramientas de prueba
+* Frameworks de prueba
+* Gestión de vulnerabilidades
+* Listas de verificación
+
+La verificación es una actividad central en el ciclo de vida de desarrollo de software seguro.
+Consulte la sección del proyecto [Cultura de Seguridad][culturetest] para los diversos tipos de pruebas de seguridad.
+
+----
+
+Traducción de versión [original en inglés][en0800].
+
+La Guía del Desarrollador de OWASP es un esfuerzo comunitario;
+si ve algo que necesita cambios, entonces [cree un issue][issue0800] o [edítelo en GitHub][edit0800].
+
+[culturetest]: https://owasp.org/www-project-security-culture/stable/7-Security_Testing/
+[edit0800]: https://github.com/OWASP/DevGuide/blob/main/docs/es/06-verification/index.md
+[en0800]: https://devguide.owasp.org/en/06-verification/
+[issue0800]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2006-verification/index
+[samm]: https://owaspsamm.org/about/
+[sammv]: https://owaspsamm.org/model/verification/
diff --git a/docs/es/index.md b/docs/es/index.md
new file mode 100644
index 00000000..fe44259b
--- /dev/null
+++ b/docs/es/index.md
@@ -0,0 +1,73 @@
+{ align=right width="180" }
+
+Bienvenido a la Guía del Desarrollador OWASP.
+
+El Proyecto abierto de seguridad de aplicaciones a nivel mundial
+(Open Worldwide Application Security Project -[OWASP][about])
+es una fundación sin fines de lucro que trabaja para mejorar la seguridad del software.
+Es una comunidad abierta dedicada a lograr que las organizaciones sean capaces de
+concebir, desarrollar, adquirir, operar y mantener aplicaciones en las que se pueda confiar.
+
+Junto con el OWASP Top Ten, la Guía del Desarrollador es uno de los recursos originales
+publicado poco después de que se formara la fundación OWASP en 2001.
+La versión 1.0 de la Guía del Desarrollador se publicó en 2002.
+y desde entonces ha habido varios [releases][versions] que culminaron en la versión 2.0 en 2005.
+
+Desde entonces, la guía ha sido revisada exhaustivamente para actualizarla.
+Las últimas versiones son 4.x porque la versión 3.0 nunca se lanzó.
+
+El propósito de esta guía es proporcionar una introducción a los conceptos de seguridad
+y una referencia útil para desarrolladores de aplicaciones/sistemas.
+Generalmente describe prácticas de seguridad utilizando los consejos dados en el
+Modelo de madurez de aseguramiento de software OWASP ([SAMM][samm]) y describe los proyectos de OWASP.
+referenciado en el proyecto OWASP [Application Security Wayfinder][intstand].
+
+Esta guía no pretende replicar las muchas excelentes fuentes sobre temas de seguridad específicos;
+rara vez intenta entrar en detalles sobre un tema y, en cambio, proporciona enlaces para profundizar más
+en estos temas de seguridad.
+En cambio, el contenido de la Guía del Desarrollador pretende ser accesible e introducir conceptos prácticos de seguridad.
+y proporcionar suficientes detalles para que los desarrolladores comiencen a utilizar varias herramientas
+y documentos de OWASP.
+
+Todos los proyectos y herramientas de OWASP descritos en esta guía se pueden descargar y utilizar de forma gratuita.
+Todos los proyectos de OWASP son de código abierto; Participe si está interesado en mejorar la seguridad
+de las aplicaciones.
+
+#### Audiencia
+
+La Guía del Desarrollador de OWASP ha sido escrita por la comunidad de seguridad
+para ayudar a los desarrolladores de software a escribir datos sólidos y
+aplicaciones seguras y protegidas.
+Los desarrolladores deberían intentar familiarizarse con la mayor parte de esta guía;
+esto ayudará a escribir aplicaciones que sean más seguras.
+
+Se puede considerar esta guía como una fuente de referencia cruzada de las numerosas herramientas
+y documentos que OWASP proporciona a los desarrolladores.
+
+O puede considerar que el propósito de esta guía es responder a ésta necesidad:
+“Soy desarrollador y necesito una guía de referencia para navegar por las numerosas herramientas de seguridad
+y actividades de seguridad que sé que debería realizar“.
+
+O considérelo como una colección de artículos que presentan a los desarrolladores el amplio dominio
+de la seguridad de las aplicaciones.
+
+O puede considerar esta guía como un documento complementario del proyecto OWASP [Integration Standards][intstand]:
+el Buscador de Seguridad de aplicaciones(Application Security Wayfinder) que mapea las numerosas herramientas de OWASP,
+proyectos y documentos con la Guía del Desarrollador que proporciona algo de contexto.
+
+[][intstand]
+
+----
+
+Traducción de versión [original en inglés][en03].
+
+La Guía para desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambio
+entonces [cree un issue][issue03] o [edítelo en GitHub][edit03].
+
+[about]: https://owasp.org/about/
+[edit03]: https://github.com/OWASP/DevGuide/blob/main/docs/es/index.md
+[en03]: https://devguide.owasp.org/
+[issue03]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2001-introduction
+[samm]: https://owaspsamm.org/about/
+[versions]: https://github.com/OWASP/DevGuide/wiki#old-versions
+[intstand]: https://owasp.org/www-project-integration-standards/
diff --git a/docs/fa/02-foundations/01-security-fundamentals.md b/docs/fa/02-foundations/01-security-fundamentals.md
new file mode 100644
index 00000000..4ec47a23
--- /dev/null
+++ b/docs/fa/02-foundations/01-security-fundamentals.md
@@ -0,0 +1,187 @@
+اصول پایهای امنیت اپلیکیشن بر مفاهیم امنیتی بیان شده در این راهنما استوار است و این در اصل یک راهنما برای
+توسعهدهندگان است.
+
+هدف این بخش، ارائه مقدمهای بر اصول پایه و اولیه است که هر تیم توسعهای باید با آنها آشنا باشد.
+
+#### مدل تضمین تکامل نرمافزار (Software Assurance Maturity Model)
+
+مدل بلوغ تضمین نرمافزار ([SAMM][samm]) زمینهای برای دامنه امنیت نرمافزار و بنیانهای یک رویه امنیتی خوب
+فراهم میکند:
+
+- [حاکمیت (Governance)][sammg]
+- [طراحی (Design)][sammd]
+- [پیادهسازی (Implementation)][sammi]
+- [راستیآزمایی (Verification)][sammv]
+- [عملیات (Operations)][sammo]
+
+مدل SAMM این بنیانهای امنیت نرمافزار را به عنوان عملکردهای تجاری (Business Functions) توصیف میکند که
+خود به رویههای تجاری (Business Practices) تقسیم میشوند.
+
+مدل تضمین تکامل نرمافزار ([SAMM][samm]) در سرتاسر این راهنمای توسعه استفاده شده است؛ اکثر بخشهای این
+راهنما حداقل به یکی از کارکردهای تجاری یا رویههای SAMM اشاره میکند.
+
+#### سهگانه CIA
+
+امنیت به زبان ساده، کنترل این است که چه کسی میتواند با اطلاعات شما تعامل داشته باشد، چه کاری میتواند
+با آن انجام دهد و چه زمانی میتواند با آن تعامل داشته باشد. این ویژگیهای امنیت را میتوان با استفاده از
+سهگانه CIA تعریف کرد.
+
+CIA مخفف محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترسپذیری (Availability) است و معمولاً
+به صورت یک مثلث که نمایانگر ارتباط قوی بین سه اصل آن است، به تصویر کشیده میشود. این سهگانه به عنوان
+پایههای امنیت اپلیکیشن در نظر گرفته میشود و اغلب محرمانگی، یکپارچگی یا دسترسپذیری به عنوان ویژگیهای
+اطلاعات یا فرآیندها در یک سیستم معین استفاده میشوند. سهگانه CIA را میتوان با سهگانه AAA بسط داد:
+مجوزدهی (Authorization)، احراز هویت (Authentication) و حسابرسی (Auditing).
+
+#### محرمانگی (Confidentiality)
+
+محرمانگی، حفاظت از دادهها در برابر افشای غیرمجاز است؛ این مفهوم به معنای تضمین این است که فقط افرادی
+با مجوز صحیح میتوانند به دادهها دسترسی داشته باشند و هم برای دادههای ثابت (data at rest) و هم برای
+دادههای در حال انتقال (data in transit) اعمال میشود.
+
+محرمانگی همچنین با مفهوم گستردهتر حریم خصوصی دادهها مرتبط است.
+
+#### یکپارچگی (Integrity)
+
+یکپارچگی به معنای محافظت از دادهها در برابر تغییرات غیرمجاز یا تضمین قابل اعتماد بودن دادهها است.
+این مفهوم شامل ایده پایداری دادهها (دادهها به صورت تصادفی یا عمدی تغییر نکردهاند) و ایده یکپارچگی
+منبع (دادهها از یک منبع قانونی آمده یا توسط آن تغییر کردهاند) میباشد.
+
+#### دسترسپذیری (Availability)
+
+دسترسپذیری به معنای تضمین حضور اطلاعات یا منابع است. این مفهوم نه تنها به در دسترس بودن خود دادهها
+(مثلاً با استفاده از تکثیر دادهها) بلکه به محافظت از سرویسهایی که دسترسی به دادهها را فراهم میکنند
+(مثلاً با استفاده از توزیع بار یا load balancing) نیز متکی است.
+
+#### سهگانه AAA
+
+سهگانه CIA اغلب با احراز هویت (Authentication)، مجوزدهی (Authorization) و حسابرسی (Auditing) گسترش
+مییابد، زیرا این موارد ارتباط نزدیکی با مفاهیم CIA دارند. CIA وابستگی شدیدی به احراز هویت و مجوزدهی
+دارد؛ محرمانگی و یکپارچگی دادههای حساس بدون آنها قابل تضمین نیست. حسابرسی به این دلیل اضافه میشود که
+میتواند مکانیزمی برای اطمینان از اثبات هرگونه تعامل با سیستم فراهم کند.
+
+#### احراز هویت (Authentication)
+
+[احراز هویت](https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html) به معنای
+صحتسنجی موجودیتی است که میخواهد با یک سیستم امن تعامل داشته باشد.
+
+به عنوان مثال، این موجودیت میتواند یک مکانیسم خودکار یا یک عامل انسانی باشد؛ در هر دو حالت، احراز هویت
+برای یک اپلیکیشن امن الزامی است.
+
+#### مجوزدهی (Authorization)
+
+[مجوزدهی](https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet.html) به معنای مشخص
+کردن حقوق دسترسی به منابع امن (دادهها، سرویسها، فایلها، اپلیکیشنها و غیره) است.
+
+این حقوق، سطوح دسترسی مربوط به منابعی که در حال ایمنسازی هستند، توصیف میکنند.
+
+مجوزدهی معمولاً پس از احراز هویت موفق انجام میشود.
+
+#### تعقیب و مراقبت (Auditing)
+
+حسابرسی به معنای پیگیری رویدادهای سطح پیادهسازی و همچنین رویدادهای سطح دامنه (domain-level) است که
+در یک سیستم رخ میدهند.
+
+این امر به فراهم کردن مفهوم عدم انکار (non-repudiation) کمک میکند، به این معنی که تغییرات یا اقدامات
+انجام شده بر روی سیستم محافظتشده غیرقابل انکار هستند.
+
+سامانههای تعقیب و مراقبت نه تنها میتواند اطلاعات فنی در مورد سیستم در حال اجرا را فراهم کند، بلکه
+اثباتی برای انجام اقدامات خاصی نیز ارائه میدهد. سوالات متداولی که تعقیب و مراقبت به آنها پاسخ میدهد
+عبارتند از: «چه کسی، چه کاری را، چه زمانی و احتمالاً چگونه انجام داده است؟»
+
+#### آسیبپذیریها (Vulnerabilities)
+
+NIST یک [آسیبپذیری][nistvuln] را اینگونه تعریف میکند: «ضعف در یک سیستم اطلاعاتی، رویههای امنیتی سیستم،
+کنترلهای داخلی یا پیادهسازی که میتواند توسط یک منبع تهدید مورد بهرهبرداری یا فعالسازی قرار گیرد.»
+
+در هر اپلیکیشن بزرگی ضعفها یا باگهای زیادی وجود دارد، اما اصطلاح آسیبپذیری عموماً برای آن دسته از
+ضعفها یا باگهایی به کار میرود که این خطر وجود دارد که یک مهاجم بتواند با سواستفاده از آنها یک تهدید
+برای سیستم به وجود بیاورد.
+
+آسیبپذیریهای امنیتی شناختهشده عبارتند از:
+
+- [دزدیدن کلیک (Clickjacking)][csclick]
+- [حمله با اعتبارنامههای سرقتشده (Credential Stuffing)][cscreds]
+- [نشت اطلاعات بین سایتی (Cross-site leaks)][csxsleaks]
+- [حملات نفی سرویس (Denial of Service DoS)][csdos]
+- حملات [XSS مبتنی بر DOM][csdom] شامل
+ [DOM Clobbering][csdomclub]
+- [IDOR][csidor]
+- [تزریق (Injection)][csinjection]
+ شامل [تزریق دستور سیستمعامل]][csosinjection] و [XXE][csxxe]
+- [حملات تزریق مخصوص LDAP][csldap]
+- [آلودگی پروتوتایپ در جاوا اسکریپت (Prototype pollution)][csproto]
+- حملات [SSRF][csssrf]
+- [تزریق SQL][cssql] و استفاده از [کوئری][csquery] های پارامتری
+- [تغییر ریدایرکت و فورواردهای اعتبارسنجینشده][csredirect]
+- حملات [XSS][csxss] و [دور زدن فیلتر XSS][csxssevade]
+
+#### HTTP و HTML
+
+اگرچه HTTP و HTML به خودی خود از اصول بنیادین امنیت نیستند، اما اپلیکیشنهای وب به ارتباطات HTTP و HTML
+متکی هستند. هم توسعهدهندگان اپلیکیشن و هم مهندسان امنیت باید درک خوبی از HTTP و زبان HTML به همراه
+کنترلهای امنیتی مختلف آنها داشته باشند.
+
+اکثر تیمهای توسعه اپلیکیشن با ارتباطات HTTP و استاندارد HTML آشنا هستند، اما در صورت لزوم به
+آموزشهای [w3consortium] یا [W3 Schools][w3schools] مراجعه کنید.
+[مجموعه برگههای تقلب OWASP](https://cheatsheetseries.owasp.org/)
+اطلاعات مورد نیاز برای تولید نرمافزار امن را در اختیار توسعهدهندگان اپلیکیشنهای وب قرار میدهد:
+
+- برگه تقلب [امنیت HTML5][htmlliving] طیف گستردهای از کنترلها را، مطابق با
+[استاندارد زنده HTML][htmlliving] فعلی، توصیف میکند.
+- برای CSS به برگه تقلب [CSS][cscss] مراجعه کنید.
+- هدرهای HTTP باید امن باشند، برگه تقلب [هدرهای پاسخ امنیتی HTTP][csheaders] را ببینید.
+- [امنیت انتقال اکید HTTP][csstrict] را قویاً مد نظر قرار دهید.
+- اگر اپلیکیشن قابلیت آپلود فایل دارد، از برگه تقلب [آپلود فایل][csfile] پیروی کنید.
+- با استفاده از برگه تقلب [سیاست امنیت محتوا][cscsp]، از وجود سیاست امنیت محتوا اطمینان حاصل کنید.
+- از JWT برای یک اپلیکیشن جاوا استفاده میکنید؟ به برگه تقلب [توکن وب JSON][csjwt] مراجعه کنید.
+- اشیاء را ذخیره یا ارسال میکنید؟ برگه تقلب [Deserialization (وارسیالسازی)][csserial] را بررسی کنید.
+
+#### منابع
+
+- [استاندارد زنده HTML][htmlliving] [WHATWG][whatwg]
+- OWASP [مجموعه برگههای تقلب](https://cheatsheetseries.owasp.org/)
+- OWASP [مدل بلوغ تضمین نرمافزار][samm] (SAMM)
+
+---
+
+راهنمای توسعهدهنده OWASP یک تلاش اجتماعی است؛ اگر چیزی نیاز به تغییر دارد، لطفاً
+[یک ایشو ثبت کنید][issue0401] یا [در گیتهاب ویرایش کنید][edit0401].
+
+[csclick]: https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet
+[cscreds]: https://cheatsheetseries.owasp.org/cheatsheets/Credential_Stuffing_Prevention_Cheat_Sheet
+[cscsp]: https://cheatsheetseries.owasp.org/cheatsheets/Content_Security_Policy_Cheat_Sheet.html
+[cscss]: https://cheatsheetseries.owasp.org/cheatsheets/Securing_Cascading_Style_Sheets_Cheat_Sheet.html
+[csdom]: https://cheatsheetseries.owasp.org/cheatsheets/DOM_based_XSS_Prevention_Cheat_Sheet
+[csdomclub]: https://cheatsheetseries.owasp.org/cheatsheets/DOM_Clobbering_Prevention_Cheat_Sheet
+[csdos]: https://cheatsheetseries.owasp.org/cheatsheets/Denial_of_Service_Cheat_Sheet
+[csidor]: https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet
+[csinjection]: https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet
+[csosinjection]: https://cheatsheetseries.owasp.org/cheatsheets/OS_Command_Injection_Defense_Cheat_Sheet
+[csldap]: https://cheatsheetseries.owasp.org/cheatsheets/LDAP_Injection_Prevention_Cheat_Sheet
+[csproto]: https://cheatsheetseries.owasp.org/cheatsheets/Prototype_Pollution_Prevention_Cheat_Sheet
+[csfile]: https://cheatsheetseries.owasp.org/cheatsheets/File_Upload_Cheat_Sheet.html
+[csheaders]: https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Headers_Cheat_Sheet.html
+[csjwt]: https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet.html
+[cssql]: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet
+[csredirect]: https://cheatsheetseries.owasp.org/cheatsheets/Unvalidated_Redirects_and_Forwards_Cheat_Sheet
+[csserial]: https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html
+[csquery]: https://cheatsheetseries.owasp.org/cheatsheets/Query_Parameterization_Cheat_Sheet
+[csssrf]: https://cheatsheetseries.owasp.org/cheatsheets/Server_Side_Request_Forgery_Prevention_Cheat_Sheet.html
+[csstrict]: https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Strict_Transport_Security_Cheat_Sheet.html
+[csxss]: https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html
+[csxsleaks]: https://cheatsheetseries.owasp.org/cheatsheets/XS_Leaks_Cheat_Sheet.html
+[csxssevade]: https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet.html
+[csxxe]: https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html
+[edit0401]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/01-security-fundamentals.md
+[htmlliving]: https://html.spec.whatwg.org/multipage/
+[issue0401]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/01-security-fundamentals
+[nistvuln]: https://csrc.nist.gov/glossary/term/vulnerability
+[samm]: https://owaspsamm.org/about/
+[sammd]: https://owaspsamm.org/model/design/
+[sammg]: https://owaspsamm.org/model/governance/
+[sammi]: https://owaspsamm.org/model/implementation/
+[sammo]: https://owaspsamm.org/model/operations/
+[sammv]: https://owaspsamm.org/model/verification/
+[w3consortium]: https://www.w3.org/
+[w3schools]: https://www.w3schools.com/html/
+[whatwg]: https://whatwg.org/
diff --git a/docs/fa/02-foundations/02-secure-development.md b/docs/fa/02-foundations/02-secure-development.md
new file mode 100644
index 00000000..32e2a682
--- /dev/null
+++ b/docs/fa/02-foundations/02-secure-development.md
@@ -0,0 +1,212 @@
+توسعه امن در استفادههای تجاری [طراحی][sammd]، [پیادهسازی][sammi] و [اعتبارسنجی][sammv] از مدل تضمین
+تکامل نرمافزار OWASP یا ([SAMM][samm]) توصیف شده است.
+
+همچنین برای توضیحی مناسب در مورد اینکه چرا افزودن امنیت به چرخه حیات توسعه نرمافزار مهم است،
+به [فرهنگ امنیت][culturewhy] مراجعه کنید.
+
+#### پیشدرآمد
+
+بهترین مقدمه برای توسعه نرمافزار امن کاربردی، مقاله [تجزیه امنیت اپلیکیشن][sdlc] از OWASP است:
+
+_یا چگونه کمتر نگران شدم و بر شانههای غولها ایستادم._ - اسپایروس گاستراتوس، الی سعد
+
+بخش بزرگی از مطالب این بخش از پروژه [استانداردهای یکپارچهسازی][intstand] OWASP گرفته شده است.
+
+#### مرور کلی
+
+تقریباً تمام نرمافزارهای مدرن به شیوهای تکرارشونده توسعه مییابند و از مرحلهای به مرحله دیگر عبور
+میکنند، مانند شناسایی نیازمندیهای مشتری، پیادهسازی و تست. این مراحل به صورت چرخهای در طول عمر
+اپلیکیشن تکرار میشوند. یک چرخه حیات توسعه نرمافزار (SDLC) مفهومی در زیر نشان داده شده است، در عمل ممکن
+است مراحل کمتر یا بیشتری بسته به فرآیندهای اتخاذ شده توسط سازمان وجود داشته باشد.
+
+{ align=right width=180 }
+
+با افزایش تعداد و پیچیدگی اکسپلویتها علیه تقریباً هر اپلیکیشن یا سیستم تجاری، اکثر شرکتها یک چرخه
+حیات توسعه نرمافزار امن (Secure SDLC) را اتخاذ کردهاند. SDLC امن هرگز نباید یک چرخه حیات جدا از
+چرخه حیات توسعه نرمافزار موجود باشد؛ بلکه باید همیشه همان چرخه حیات توسعه قبلی باشد اما با اقدامات
+امنیتی که در هر مرحله تعبیه شده است.
+
+در غیر این صورت، ممکن است اقدامات امنیتی توسط تیمهای توسعه پرمشغله کنار گذاشته شوند.
+توجه داشته باشید که اگرچه Secure SDLC میتواند به صورت 'SSDLC' نوشته شود، اما تقریباً همیشه به صورت
+'SDLC' نوشته میشود.
+
+DevOps بسیاری از مراحل SDLC را یکپارچه و خودکار کرده و پایپلاینهای یکپارچهسازی مداوم (CI) و
+تحویل/استقرار مداوم (CD) را برای فراهم کردن بخش بزرگی از اتوماسیون SDLC پیادهسازی میکند.
+
+DevOps و پایپلاینها با عواقب جدی در مقیاس بزرگ با موفقیت مورد اکسپلویت قرار گرفتهاند و بنابراین،
+به روشی مشابه SDLC، بسیاری از اقدامات DevOps نیز امنیت را در خود جای دادهاند. DevOps امن، یا DevSecOps،
+رویههای امنیتی را در فعالیتهای DevOps تعبیه میکند تا در برابر حملات محافظت کرده و تست امنیت خودکار
+را برای SDLC فراهم کند.
+
+نمونههایی از چگونگی «پیادهسازی امنیت» در DevSecOps، فراهم کردن تست امنیت اپلیکیشن تعاملی، ایستا و
+پویا (IAST, SAST & DAST) و پیادهسازی امنیت زنجیره تأمین است، و فعالیتهای امنیتی بسیار دیگری نیز
+وجود دارد که میتوانند اعمال شوند. برای اطلاع از آخرین کنترلهای امنیتی DevSecOps به
+[برگه تقلب امنیت CI/CD][cscicd] مراجعه کنید.
+
+#### چرخه حیات توسعه امن
+
+با مراجعه به چرخه توسعه [راهنمای امنیت اپلیکیشن][intstand] OWASP، چهار مرحله تکرارشونده در طول توسعه
+اپلیکیشن وجود دارد: نیازمندیها، طراحی، پیادهسازی و راستیآزمایی. مراحل دیگر کمتر به صورت تکراری در
+چرخه توسعه انجام میشوند اما بخش به همان اندازه مهمی از SDLC را تشکیل میدهند: تحلیل شکاف (Gap Analysis)،
+معیارها (Metrics)، عملیات (Operation) و آموزش و فرهنگسازی (Training & Culture Building).
+
+تمام این مراحل SDLC باید فعالیتهای امنیتی را در خود داشته باشند، به جای اینکه به عنوان فعالیتهای
+جداگانه انجام شوند. اگر امنیت در این مراحل تعبیه شود، سربار آن بسیار کمتر شده و مقاومت تیمهای توسعه
+در این مورد کاهش مییابد. هدف این است که SDLC امن به یک فرآیند آشنا مانند قبل تبدیل شود و تیمهای توسعه
+مالکیت فعالیتهای امنیتی در هر مرحله را بر عهده بگیرند.
+
+ابزارها و منابع بسیاری از OWASP برای کمک به اعمال امنیت در SDLC وجود دارد.
+
+* **نیازمندیها (Requirements)**: این مرحله نیازمندیهای عملکردی، غیرعملکردی و امنیتی اپلیکیشن را
+ تعیین میکند. نیازمندیها باید به صورت دورهای بازبینی شده و از نظر کامل بودن و اعتبار بررسی شوند،
+ و ارزش دارد که ابزارهای مختلف OWASP برای کمک به این امر در نظر گرفته شوند؛
+ * [استاندارد راستیآزمایی امنیت اپلیکیشن (ASVS)][asvs] لیستی از نیازمندیها برای توسعه امن را در
+ اختیار توسعهدهندگان قرار میدهد،
+ * پروژه [امنیت اپلیکیشن موبایل][masproject] یک استاندارد امنیتی برای اپلیکیشنهای موبایل فراهم میکند
+ * و [SecurityRAT][srat] به شناسایی مجموعه اولیه و پایه نیازمندیهای امنیتی کمک میکند.
+
+* **طراحی (Design)**: طراحی امنیت در اپلیکیشن مهم است - هیچ وقت برای این کار دیر نیست اما هرچه زودتر
+ انجام شود بهتر و آسانتر است. OWASP دو ابزار، [مدلسازی تهدید پایتونیک][pytm] و [اژدهای تهدید][tdtm]،
+ برای مدلسازی تهدید به همراه بازی کردن امنیت با استفاده از [Cornucopia][cornucopia] فراهم میکند.
+
+* **پیادهسازی (Implementation)**: پروژه [۱۰ کنترل پیشگیرانه برتر][proactive10] OWASP بیان میکند که آنها
+ «مهمترین کنترلها و دستههای کنترلی هستند که هر توسعهدهندهای باید مطلقاً، ۱۰۰٪ در هر پروژهای
+ بگنجاند» و این قطعاً توصیه خوبی است. پیادهسازی این کنترلها میتواند درجه بالایی از اطمینان را فراهم
+ کند که اپلیکیشن یا سیستم به طور منطقی امن خواهد بود. OWASP دو کتابخانه را فراهم میکند که میتوانند
+ در اپلیکیشنهای وب گنجانده شوند، کتابخانه کنترل امنیتی [API امنیت سازمانی (ESAPI)][esapi-project] و
+ [CSRFGuard][csrfguard] برای کاهش خطر حملات [جعل درخواست بین سایتی][cscsrf] (CSRF)، که به پیادهسازی
+ این کنترلهای پیشگیرانه کمک میکنند. علاوه بر این، [مجموعه برگههای تقلب][csproject] OWASP منبع
+ ارزشمندی از اطلاعات و توصیهها در مورد تمام جنبههای امنیت اپلیکیشنها است.
+
+* **راستیآزمایی (Verification)**: OWASP تعداد نسبتاً زیادی پروژه را فراهم میکند که به تست و راستیآزمایی
+ کمک میکنند. این موضوع یک بخش در این راهنمای توسعهدهنده است و پروژهها در انتهای این بخش لیست شدهاند.
+
+* **آموزش (Training)**: تیمهای توسعه به طور مداوم به آموزش امنیت نیاز دارند. اگرچه آموزش بخشی از حلقه
+ تکراری داخلی SDLC نیست، اما همچنان باید در چرخه حیات پروژه لحاظ شود. OWASP بسیاری از محیطها و
+ مواد آموزشی را فراهم میکند - لیست را در انتهای این بخش ببینید.
+
+* **فرهنگسازی (Culture Building)**: یک فرهنگ امنیتی خوب در یک سازمان تجاری به میزان زیادی به امن نگه
+ داشتن اپلیکیشنها و سیستمها کمک خواهد کرد. فعالیتهای زیادی وجود دارند که همگی با هم فرهنگ امنیت
+ را ایجاد میکنند، پروژه [فرهنگ امنیت][culture] OWASP به جزئیات بیشتری در مورد این فعالیتها میپردازد،
+ و یک برنامه قهرمانان امنیت (Security Champion) خوب در کسبوکار، بنیادی برای یک وضعیت امنیتی خوب است.
+ این راهنمای OWASP راهنمایی و مواد لازم را برای ایجاد قهرمانان امنیت در تیمهای توسعه فراهم میکند.
+ در حالت ایدهآل، هر تیم باید یک قهرمان امنیت داشته باشد که علاقه خاصی به امنیت دارد و آموزش بیشتری
+ دیده است، که این امر تیم را قادر میسازد تا امنیت را در کار خود تعبیه کند.
+
+* **عملیات (Operations)**: [راهنمای DevSecOps][devsecops] OWASP توضیح میدهد که چگونه میتوان یک پایپلاین
+ امن را به بهترین شکل پیادهسازی کرد، با استفاده از بهترین رویهها و ابزارهای اتوماسیون برای کمک به
+ «انتقال به چپ» (shift-left) مسائل امنیتی. برای اطلاعات بیشتر در مورد هر یک از موضوعات درون DevSecOps
+ و به ویژه بخشهای مربوط به عملیات، به راهنمای DevSecOps مراجعه کنید.
+
+* **زنجیره تأمین (Supply chain)**: حملاتی که از زنجیره تأمین بهرهبرداری میکنند میتوانند ویرانگر باشند
+ و چندین مورد برجسته از محصولات که با موفقیت مورد اکسپلویت قرار گرفتهاند، وجود داشته است. یک فهرست
+ مواد نرمافزار (SBOM) اولین قدم برای جلوگیری از این حملات است و ارزش دارد که از استاندارد فهرست
+ مواد (BOM) تمام پشته [CycloneDX][cyclone] OWASP برای [کاهش ریسک در زنجیره تأمین][cschain] استفاده شود.
+ علاوه بر این، پروژه [Dependency-Track][deptrack] OWASP یک پلتفرم تحلیل مداوم SBOM است که میتواند با
+ فراهم کردن کنترل بر SBOM، به جلوگیری از این اکسپلویتهای زنجیره تأمین کمک کند.
+
+* **وابستگیهای شخص ثالث (Third party dependencies)**: پیگیری اینکه چه کتابخانههای شخص ثالثی در اپلیکیشن
+ گنجانده شدهاند، و چه آسیبپذیریهایی دارند، به راحتی قابل خودکارسازی است. بسیاری از مخازن عمومی مانند
+ [github] و [gitlab] این سرویس را به همراه برخی از طراحان تجاری ارائه میدهند. OWASP ابزار تحلیل
+ ترکیب نرمافزار (SCA) [Dependency-Check][depcheck] را برای پیگیری کتابخانههای خارجی فراهم میکند.
+
+* **تست امنیت اپلیکیشن (Application security testing)**: انواع مختلفی از تستهای امنیتی وجود دارد که
+ میتوانند به صورت خودکار در زمان pull-request، merge یا به صورت شبانه اجرا شوند - یا در واقع به صورت
+ دستی، اما وقتی خودکار باشند قدرتمندتر هستند. معمولاً تست امنیت ایستا اپلیکیشن (SAST) وجود دارد که
+ کد را بدون اجرای آن تحلیل میکند، و تست امنیت پویای اپلیکیشن (DAST)، که ورودی را به اپلیکیشن در حال
+ اجرا در یک sandbox یا محیطهای ایزوله دیگر اعمال میکند. تست امنیت تعاملی اپلیکیشن (IAST) برای اجرای
+ دستی و همچنین خودکار طراحی شده است، و بازخورد فوری در مورد تستها هنگام اجرای آنها ارائه میدهد.
+
+#### مطالعه بیشتر از OWASP
+
+* [مجموعه برگههای تقلب][csproject]
+* [برگه تقلب امنیت CI/CD][cscicd]
+* [Cornucopia][cornucopia]
+* استاندارد فهرست مواد (BOM) [CycloneDX][cyclone]
+* [راهنمای DevSecOps][devsecops]
+* [راهنمای قهرمانان امنیت][champions]
+* [پروژه فرهنگ امنیت][culture]
+* [۱۰ کنترل پیشگیرانه برتر][proactive10]
+
+#### پروژههای راستیآزمایی OWASP
+
+* [استاندارد راستیآزمایی امنیت اپلیکیشن (ASVS)][asvs]
+* [پروژه Amass][amass]
+* [Code Pulse][pulse]
+* [Defect Dojo][defectdojo]
+* [امنیت اپلیکیشن موبایل (MAS)][masproject]
+* [Nettacker][net]
+* [چارچوب تست تهاجمی وب (OWTF)][owtf]
+* [راهنمای تست امنیت وب (WSTG)][wstg]
+
+#### پروژههای آموزشی OWASP
+
+* [پروژه امنیت API][apisec] (API Top 10)
+* [Juice Shop][juice]
+* [۱۰ مورد برتر موبایل][mobile10]
+* [Security Shepherd][sec-shep]
+* [Snakes And Ladders][snakes]
+* [ده ریسک امنیتی برتر اپلیکیشن وب][top10]
+* [WebGoat][webgoat]
+
+#### منابع OWASP
+
+* [کتابخانه CSRFGuard][csrfguard]
+* [تحلیل ترکیب نرمافزار (SCA) Dependency-Check][depcheck]
+* [پلتفرم تحلیل مداوم SBOM Dependency-Track][deptrack]
+* [API امنیت سازمانی (ESAPI)][esapi-project]
+* [راهنمای امنیت اپلیکیشن پروژه استانداردهای یکپارچهسازی][intstand]
+* [امنیت اپلیکیشن موبایل (MAS)][mas]
+* [مدلسازی تهدید پایتونیک][pytm]
+* [اژدهای تهدید][tdtm]
+* [SecurityRAT][srat] (ابزار خودکارسازی برای نیازمندیها)
+
+---
+
+راهنمای توسعهدهنده OWASP یک تلاش اجتماعی است؛ اگر چیزی نیاز به تغییر دارد، لطفاً
+[یک ایشو (مسئله) ثبت کنید][issue0402] یا [در گیتهاب ویرایش کنید][edit0402].
+
+[amass]: https://owasp.org/www-project-amass/
+[apisec]: https://owasp.org/API-Security
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[champions]: https://owasp.org/www-project-security-champions-guidebook/
+[cscicd]: https://cheatsheetseries.owasp.org/cheatsheets/CI_CD_Security_Cheat_Sheet.html
+[cornucopia]: https://owasp.org/www-project-cornucopia/
+[cschain]: https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet.html
+[cscsrf]: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html
+[csproject]: https://owasp.org/www-project-cheat-sheets/
+[csrfguard]: https://owasp.org/www-project-csrfguard/
+[culture]: https://owasp.org/www-project-security-culture/
+[culturewhy]: https://owasp.org/www-project-security-culture/stable/2-Why_Add_Security_In_Development_Teams/
+[cyclone]: https://owasp.org/www-project-cyclonedx/
+[depcheck]: https://owasp.org/www-project-dependency-check/
+[deptrack]: https://dependencytrack.org/
+[devsecops]: https://owasp.org/www-project-devsecops-guideline/
+[defectdojo]: https://www.defectdojo.org/
+[edit0402]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/02-secure-development.md
+[esapi-project]: https://owasp.org/www-project-enterprise-security-api/
+[github]: https://github.com/
+[gitlab]: https://about.gitlab.com/
+[issue0402]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/02-secure-development
+[juice]: https://owasp.org/www-project-juice-shop/
+[mas]: https://mas.owasp.org/
+[masproject]: https://owasp.org/www-project-mobile-app-security/
+[mobile10]: https://owasp.org/www-project-mobile-top-10/
+[net]: https://owasp.org/www-project-nettacker/
+[owtf]: https://owasp.org/www-project-owtf/
+[proactive10]: https://owasp.org/www-project-proactive-controls/
+[pulse]: https://owasp.org/www-project-code-pulse/
+[pytm]: https://owasp.org/www-project-pytm/
+[samm]: https://owaspsamm.org/about/
+[sammd]: https://owaspsamm.org/model/design/
+[sammi]: https://owaspsamm.org/model/implementation/
+[sammv]: https://owaspsamm.org/model/verification/
+[sdlc]: https://owasp.org/www-project-integration-standards/writeups/owasp_in_sdlc/
+[sec-shep]: https://owasp.org/www-project-security-shepherd/
+[snakes]: https://owasp.org/www-project-snakes-and-ladders/
+[srat]: https://owasp.org/www-project-securityrat/
+[tdtm]: https://owasp.org/www-project-threat-dragon/
+[top10]: https://owasp.org/Top10/
+[intstand]: https://owasp.org/www-project-integration-standards/
+[webgoat]: https://owasp.org/www-project-webgoat/
+[wstg]: https://owasp.org/www-project-web-security-testing-guide/
diff --git a/docs/fa/02-foundations/03-security-principles.md b/docs/fa/02-foundations/03-security-principles.md
new file mode 100644
index 00000000..9d1ff5dc
--- /dev/null
+++ b/docs/fa/02-foundations/03-security-principles.md
@@ -0,0 +1,188 @@
+این بخش مقدمهای بسیار کوتاه بر برخی مفاهیم مورد استفاده در حوزه امنیت نرمافزار است، چرا که این مفاهیم
+ممکن است برای بسیاری از توسعهدهندگان اپلیکیشن ناآشنا باشند.
+[مجموعه برگههای تقلب OWASP](https://cheatsheetseries.owasp.org/)
+توضیحات عمیقتری برای این اصول امنیتی ارائه میدهد؛ برای مطالعه بیشتر به بخش انتهایی این متن مراجعه کنید.
+
+#### نمای کلی (Overview)
+
+مفاهیم و اصطلاحات گوناگونی در حوزه امنیت وجود دارند که برای درک و بحث در مورد امنیت اپلیکیشن، اساسی
+هستند. مدیران امنیت و مهندسان امنیت با این اصطلاحات آشنا خواهند بود و تیمهای توسعه نیز برای پیادهسازی
+اپلیکیشنهای امن، به این درک نیاز دارند.
+
+#### امنیت در طراحی (Security by Design)
+
+امنیت نباید یک موضوع ثانویه یا یک افزودنی باشد. هنگام توسعه سیستمها، باید با شناسایی نیازمندیهای
+امنیتی مرتبط شروع کنید و آنها را به عنوان بخشی جداییناپذیر از فرآیند کلی و طراحی سیستم در نظر بگیرید.
+کار را با ایجاد و اتخاذ اصول و سیاستهای مرتبط به عنوان پایهای برای طراحی خود آغاز کنید، سپس امنیت را
+در چرخه برنامه توسعه خود بگنجانید. همچنین به خاطر داشته باشید که سیستمی که میسازید به نگهداری نیز
+نیاز خواهد داشت و اپراتورهای سیستم باید بتوانند به طور امن سیستم را مدیریت کرده و حتی آن را از کار
+انداخته و از رده خارج کنند. بنابراین، با توسعه اصول و رویههای امن برای «مدیریت عملیاتی»[^1]،
+به عملیات امن متعهد باشید.
+
+#### امنیت در اولویت (Security by Default)
+
+«امنیت در اولویت» به این معناست که تنظیمات، امنترین تنظیمات ممکن باشند. این لزوماً به معنای
+کاربرپسندترین تنظیمات نیست. بر اساس تحلیل ریسک و آزمونهای کاربردپذیری، ارزیابی کنید که این تنظیمات
+باید چه باشند. در نتیجه، تصمیمگیری در مورد معنای دقیق آن بر عهده شماست. با این وجود، سیستم را طوری
+پیکربندی کنید که تنها کمترین عملکرد لازم را ارائه دهد و به طور مشخص استفاده از سایر عملکردها، پورتها،
+پروتکلها و یا سرویسها را ممنوع و/یا محدود کند. همچنین، تنظیمات پیشفرض را مطابق با بهترین شیوهها
+تا حد امکان محدودکننده پیکربندی کنید، بدون اینکه «پذیرش روانی» (Psychological acceptability) و
+«کاربردپذیری و مدیریتپذیری» (Usability and Manageability) سیستم به خطر بیفتد.
+
+#### عدم وجود تضمین امنیتی (No security guarantee)
+
+یکی از مهمترین اصول امنیت نرمافزار این است که هیچ اپلیکیشن یا سیستمی به طور کامل و ۱۰۰٪ در برابر
+همه حملات مقاوم نیست. این ممکن است نقطه شروعی غیرمعمول و بدبینانه به نظر برسد، اما کاملا واقعی است؛
+با داشتن زمان و منابع کافی، هر سیستمی قابل نفوذ است. هدف از امنیت نرمافزار، «امنیت ۱۰۰٪» نیست،
+بلکه دشوار کردن نفوذ و کمارزش کردن پاداش آن است، تا جایی که بازیگران مخرب برای بهرهبرداری به سراغ
+سیستمهای دیگر بروند و این کار برایشان صرفه نداشته باشد.
+
+#### دفاع در عمق (Defense in Depth)
+
+[دفاع در عمق][did]
+که به آن دفاع لایهای نیز گفته میشود، یک اصل امنیتی است که در آن، دفاع در برابر حمله توسط چندین کنترل
+امنیتی فراهم میشود. هدف این است که نقاط شکست کامل (single points of complete compromise) با گنجاندن
+یک سری یا چندین لایه از پادمانهای امنیتی و اقدامات متقابل برای کاهش ریسک، حذف یا کاهش یابند.
+
+اگر یک لایه دفاعی ناکافی باشد، در صورتی که استراتژیهای دفاعی متنوعی وجود داشته باشد، لایه دیگر ممکن
+است از یک نفوذ کامل جلوگیری کند و اگر آن لایه نیز دور زده شود، لایه بعدی ممکن است اکسپلویت را مسدود کند.
+
+#### حالت ایمن (Fail Safe)
+
+این یک اصل امنیتی است که هدف آن حفظ محرمانگی، یکپارچگی و در دسترس بودن (confidentiality, integrity and
+availability) هنگام شناسایی یک وضعیت خطا است. این وضعیتهای خطا ممکن است نتیجه یک حمله باشند یا به دلیل
+نقص در طراحی یا پیادهسازی رخ دهند؛ در هر صورت، سیستم/اپلیکیشنها باید به جای یک وضعیت ناامن، به یک
+وضعیت امن بازگردند.
+
+به عنوان مثال، تا زمانی که به یک موجودیت (entity) دسترسی صریح به یک شیء (object) داده نشده باشد، به
+طور پیشفرض باید دسترسی آن به آن شیء رد شود. این اغلب به عنوان «پیشفرضهای حالت ایمن» (Fail Safe
+Defaults) یا «امنیت به صورت پیشفرض» (Secure by Default) توصیف میشود.
+
+در زمینه امنیت نرمافزار، اصطلاح «fail secure» معمولاً به جای «fail safe» به کار میرود که از اصطلاحات
+امنیت فیزیکی گرفته شده است. حالت ایمن همچنین به تابآوری (resiliency) نرمافزار کمک میکند، به این
+ترتیب که سیستم/اپلیکیشن میتواند به سرعت پس از نقصهای طراحی یا پیادهسازی، بهبود یابد.
+
+#### حداقل امتیاز (Least Privilege)
+
+یک اصل امنیتی که در آن به یک شخص یا فرآیند فقط حداقل سطح حقوق دسترسی (دسترسی امنیتی) که برای تکمیل
+یک عملیات محول شده ضروری است، داده میشود. این حق باید فقط برای حداقل زمان لازم برای تکمیل عملیات
+اعطا شود.
+
+این اصل با به حداقل رساندن توانایی یک مهاجم برای ارتقای امتیازات به صورت جانبی یا عمودی، به محدود
+کردن آسیب در هنگام نفوذ به سیستم کمک میکند. برای اعمال این
+[اصل حداقل امتیاز](https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet.html#enforce-least-privileges)،
+باید سطحبندی (granularity) مناسبی از امتیازات و مجوزها ایجاد شود.
+
+#### بخشبندی (Compartmentalize)
+
+اصل حداقل امتیاز زمانی بهتر عمل میکند که اجازه دسترسی یک مدل «همه یا هیچ» نباشد. در عوض، دسترسی به
+اطلاعات را بر اساس «نیاز به دانستن» (need-to-know) برای انجام وظایف خاص، بخشبندی کنید. اصل بخشبندی
+به به حداقل رساندن تأثیر یک رخنه امنیتی در صورت وقوع یک تلاش موفق برای نفوذ کمک میکند، اما باید با
+اعتدال استفاده شود تا از غیرقابل مدیریت شدن سیستم جلوگیری شود. بنابراین، از اصل «صرفهجویی در سازوکار»
+(Economy of Mechanism) نیز پیروی کنید.
+
+#### تفکیک وظایف (Separation of Duties)
+
+تفکیک وظایف، که به عنوان
+[تفکیک امتیازات][sop]
+نیز شناخته میشود، یک اصل امنیتی است که نیازمند آن است که تکمیل موفقیتآمیز یک وظیفه واحد، به دو یا
+چند شرط وابسته باشد که هر یک به تنهایی برای تکمیل آن وظیفه کافی نیستند.
+
+کاربردهای زیادی برای این اصل وجود دارد، به عنوان مثال محدود کردن آسیبی که یک کارمند ناراضی یا مخرب
+داخلی میتواند وارد کند، یا محدود کردن ارتقای امتیاز.
+
+#### صرفهجویی در سازوکار (Economy of Mechanism)
+
+این اصل که به «ساده نگهداشتن» (keep it simple) نیز معروف است، بیان میکند که اگر چندین پیادهسازی
+وجود دارد، باید سادهترین و قابل فهمترین پیادهسازی انتخاب شود.
+
+احتمال وجود آسیبپذیریها با پیچیدگی طراحی معماری و کد نرمافزار افزایش مییابد و اگر دنبال کردن یا
+بازبینی کد دشوار باشد، این احتمال بیشتر هم میشود. با ساده و قابل فهم نگه داشتن طراحی و جزئیات پیادهسازی
+نرمافزار، سطح حمله (attack surface) آن کاهش مییابد.
+
+#### میانجیگری و بازنگری کامل (Complete Mediation)
+
+یک اصل امنیتی که تضمین میکند در درخواستهای بعدی یک فاعل (subject) برای یک شیء (object)، مرجعیت
+(authority) دور زده نمیشود، و این کار را با بررسی مجوزها (حقوق و امتیازات) در هر بار درخواست برای
+آن شیء انجام میدهد.
+
+به عبارت دیگر، درخواستهای دسترسی یک فاعل برای یک شیء هر بار به طور کامل میانجیگری میشوند، به طوری
+که تمام دسترسیها به اشیاء باید بررسی شوند تا اطمینان حاصل شود که مجاز هستند.
+
+#### طراحی باز (Open Design)
+
+اصل امنیتی طراحی باز بیان میکند که جزئیات پیادهسازی یک طراحی باید مستقل از خود طراحی باشد، و به
+طراحی اجازه میدهد باز بماند در حالی که پیادهسازی میتواند مخفی نگه داشته شود. این در تضاد با «امنیت
+از طریق گمنامی» (security by obscurity) است که در آن امنیت نرمافزار به پنهان کردن خود طراحی بستگی دارد.
+
+هنگامی که نرمافزار با استفاده از مفهوم طراحی باز معماری میشود، بازبینی خود طراحی منجر به به خطر
+افتادن پادمانهای امنیتی در نرمافزار نخواهد شد و این مورد مهمی محسوب میشود.
+
+#### حداقل سازوکار مشترک (Least Common Mechanism)
+
+اصل امنیتی حداقل سازوکار مشترک، اشتراکگذاری سازوکارهایی که بین بیش از یک کاربر یا فرآیند مشترک هستند
+را در صورتی که آن کاربران یا فرآیندها در سطوح امتیازی متفاوتی قرار دارند، ممنوع میکند. این امر هنگام
+دفاع در برابر ارتقای امتیاز اهمیت دارد و اجازه نمیدهد مهاجم دسترسیهای خود را بالا برده و نفوذ را
+عمیق کند.
+
+#### پذیرش روانی (Psychological acceptability)
+
+یک اصل امنیتی که هدف آن به حداکثر رساندن استفاده و پذیرش قابلیتهای امنیتی در نرمافزار است، و این
+کار را با اطمینان از اینکه قابلیتهای امنیتی برای استفاده آسان و در عین حال برای کاربر شفاف هستند،
+انجام میدهد. سهولت استفاده و شفافیت، الزامات اساسی برای مؤثر بودن این اصل امنیتی هستند.
+
+کنترلهای امنیتی نباید دسترسی به یک منبع را به طور قابل توجهی دشوارتر از زمانی کنند که آن کنترل امنیتی
+وجود نداشت. اگر یک کنترل امنیتی اصطکاک زیادی برای کاربران ایجاد کند، ممکن است آنها به دنبال راههایی
+برای دور زدن آن کنترل بگردند و «درها را باز بگذارند».
+
+#### کاربردپذیری و مدیریتپذیری (Usability and Manageability)
+
+این اصلی است که با پذیرش روانی مرتبط است، اما فراتر از صرفاً پذیرش روانی درکشده رفته و شامل طراحی،
+پیادهسازی و عملیات کنترلهای امنیتی نیز میشود. پیکربندی، مدیریت و یکپارچهسازی مؤلفههای امنیتی
+نباید بیش از حد پیچیده یا مبهم باشد. بنابراین، همیشه از استانداردهای باز برای قابلیت حمل و قابلیت
+همکاری استفاده کنید، از زبان مشترک در توسعه نیازمندیهای امنیتی استفاده کنید، امنیت را طوری طراحی کنید
+که امکان پذیرش منظم فناوری جدید را فراهم کند، اطمینان حاصل کنید که یک فرآیند ارتقاء امن و منطقی
+وجود دارد، فعالیتهای مدیریت امنیت را خودکار کنید و برای سهولت استفاده در عملیات تلاش کنید.
+
+#### ایمنسازی ضعیفترین حلقه (Secure the Weakest Link)
+
+این اصل امنیتی بیان میکند که تابآوری نرمافزار شما در برابر تلاشهای هکرها، به شدت به حفاظت از
+ضعیفترین مؤلفههای آن، چه کد، چه سرویس یا یک رابط کاربری، بستگی دارد. بنابراین، شناسایی ضعیفترین
+مؤلفه و رسیدگی به جدیترین ریسک در ابتدا، تا رسیدن به سطح قابل قبولی از ریسک، یک رویه امنیتی خوب
+محسوب میشود که در سطح اولیه حمله تلاش برای نفوذ را خنثی کند.
+
+#### بهرهگیری از مؤلفههای موجود (Leveraging Existing Components)
+
+این یک اصل امنیتی است که بر اطمینان از عدم افزایش سطح حمله و عدم معرفی آسیبپذیریهای جدید از طریق
+ترویج استفاده مجدد از مؤلفهها، کد و قابلیتهای نرمافزاری موجود تمرکز دارد.
+
+مؤلفههای موجود به احتمال زیاد امتحان شده و آزمایش شدهاند و بنابراین امنتر هستند و همچنین باید
+پچهای امنیتی برای آنها در دسترس باشد. علاوه بر این، مؤلفههایی که در جامعه منبعباز (open source)
+توسعه یافتهاند، از مزیت «چشمان بسیار» بهرهمند هستند و بنابراین احتمالاً حتی امنتر خواهند بود و در
+مواردی که مجبور به نوشتن کد یا سرویس دستنویس نیستید از آن استفاده نفرمایید.
+
+#### منابع (References)
+
+- مجموعه Cheat Sheetهای OWASP
+ - [Authentication Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html)
+ - [Authorization Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet.html)
+ - [Secure Product Design Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html)
+- کنترلهای پیشگیرانه ۱۰گانه برتر OWASP
+ - [C5: Secure by Default Configurations](https://top10proactive.owasp.org/the-top-10/c5-secure-by-default/)
+- سایر موارد
+ - [Compartmentalization (information security)](https://en.wikipedia.org/wiki/Compartmentalization_(information_security))
+ - [Least Functionality](https://csf.tools/reference/nist-sp-800-53/r5/cm/cm-7/), (NIST)
+ - [Security by Design](https://pubs.opengroup.org/security/o-esa/#_Toc291061712), (Open Group)
+ - [Usability and Manageability](https://pubs.opengroup.org/security/o-esa/#_Toc291061714), (Open Group)
+
+---
+
+راهنمای توسعهدهنده OWASP یک تلاش اجتماعی است؛ اگر چیزی نیاز به تغییر دارد، لطفاً
+[یک ایشو ثبت کنید][issue0403] یا [در گیتهاب ویرایش کنید][edit0403].
+
+[^1]: [Operational Management](https://owaspsamm.org/model/operations/operational-management/), (SAMM)
+
+[did]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html#2-the-principle-of-defense-in-depth
+[edit0403]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/03-security-principles.md
+[issue0403]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/03-security-principles
+[sop]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html#1-the-principle-of-least-privilege-and-separation-of-duties
diff --git a/docs/fa/02-foundations/04-crypto-principles.md b/docs/fa/02-foundations/04-crypto-principles.md
new file mode 100644
index 00000000..ae5ffecc
--- /dev/null
+++ b/docs/fa/02-foundations/04-crypto-principles.md
@@ -0,0 +1,233 @@
+رمزنگاری برای حفظ محرمانگی (Confidentiality) و یکپارچگی (Integrity) اپلیکیشنها و سیستمها به شدت
+مهم و اساسی است. [مجموعه برگههای تقلب OWASP](https://cheatsheetseries.owasp.org/) کاربرد رمزنگاری را
+تشریح میکند که برخی از آنها در بخش مطالعه بیشتر در انتهای این متن فهرست شدهاند.
+
+#### نمای کلی
+
+این بخش مقدمهای کوتاه بر رمزنگاری (که اغلب به سادگی «کریپتو یا سایفر» نامیده میشود) و اصطلاحات
+مورد استفاده در آن ارائه میدهد. رمزنگاری موضوعی بزرگ است و میتواند بسیار ریاضیاتی شود، اما خوشبختانه
+برای اکثر تیمهای توسعه، درک کلی از مفاهیم کافی است. این درک عمومی، با راهنمایی معماران امنیت، باید
+به تیم توسعه اجازه دهد تا رمزنگاری را برای اپلیکیشن یا سیستم پیادهسازی کند.
+
+#### کاربردهای رمزنگاری
+
+اگرچه رمزنگاری در ابتدا عمدتاً به حوزه نظامی و دانشگاهی محدود بود، اما اکنون برای امنسازی اپلیکیشنهای
+نرمافزاری همهگیر شده است. کاربردهای روزمره و رایج رمزنگاری شامل تلفنهای همراه، رمزهای عبور، SSL VPNها،
+کارتهای هوشمند و DVDها میشود. رمزنگاری در زندگی روزمره نفوذ کرده و توسط بسیاری از اپلیکیشنهای وب به
+طور گسترده استفاده میشود.
+
+رمزنگاری یکی از موضوعات پیشرفتهتر در امنیت اطلاعات است و درک آن به بیشترین میزان آموزش و تجربه نیاز دارد.
+پیادهسازی صحیح آن دشوار است زیرا رویکردهای زیادی برای رمزگذاری وجود دارد که هر کدام مزایا و معایبی
+دارند که باید توسط معمارانی که راهکارهای امنیتی را تدوین میکنند به طور کامل درک شوند.
+
+پیادهسازی صحیح و دقیق رمزنگاری برای کارایی آن بسیار حیاتی است. یک اشتباه کوچک در پیکربندی یا کدنویسی
+منجر به از بین رفتن بخش عمدهای از حفاظت شده و پیادهسازی رمزنگاری را بیفایده میکند.
+
+درک خوب از کریپتو برای تشخیص بین محصولات معتبر و محصولات بیارزش (snake oil) لازم است. پیچیدگی ذاتی
+کریپتو باعث میشود به راحتی فریب ادعاهای خارقالعاده فروشندگان درباره محصولاتشان را بخورید. معمولاً،
+این ادعاها شامل «یک پیشرفت شگرف در رمزنگاری»، «غیرقابل شکستن» یا ارائه امنیت «در سطح نظامی» هستند.
+اگر یک فروشنده بگوید «به ما اعتماد کنید، کارشناسان ما این را بررسی کردهاند»، به احتمال زیاد آنها
+کارشناس نبودهاند!
+
+#### محرمانگی (Confidentiality)
+
+برای اهداف این بخش، محرمانگی به عنوان «عدم افشای غیرمجاز اطلاعات» تعریف میشود. رمزنگاری از طریق
+رمزگذاری دادهها در حالت سکون (data at rest) یا دادهها در حال انتقال (data in transit) به این موضوع
+میپردازد و اطلاعات را در برابر همه کسانی که کلید رمزگشایی را ندارند، محافظت میکند. از هشهای
+رمزنگاری (هشهای امن و یکطرفه) برای جلوگیری از افشای رمزهای عبور استفاده میشود.
+
+#### احراز هویت (Authentication)
+
+احراز هویت فرآیند تأیید ادعای یک فاعل (subject) مبنی بر اینکه او همان کسی است که میگوید، از طریق
+شواهد تأییدکننده ارائه شده است. رمزنگاری در احراز هویت نقش محوری دارد:
+
+1. برای محافظت از شواهد تأییدکننده ارائه شده (به عنوان مثال، هش کردن رمزهای عبور برای ذخیرهسازی بعدی).
+2. در پروتکلهای احراز هویت که اغلب از رمزنگاری برای احراز هویت مستقیم موجودیتها یا تبادل امن اعتبارنامهها
+ استفاده میکنند.
+3. برای تأیید هویت یک یا هر دو طرف در تبادل پیامها, به عنوان مثال تأیید هویت در امنیت لایه انتقال (TLS).
+
+OpenID Connect به طور گسترده به عنوان یک لایه هویتی بر روی پروتکل OAuth 2.0 استفاده میشود. به
+[برگه تقلب پروتکل OAuth 2.0](https://cheatsheetseries.owasp.org/cheatsheets/OAuth2_Cheat_Sheet) مراجعه کنید.
+
+#### یکپارچگی (Integrity)
+
+یکپارچگی تضمین میکند که حتی کاربران مجاز نیز هیچگونه تغییر تصادفی یا مخربی در اطلاعات ایجاد نکردهاند.
+میتوان از رمزنگاری برای جلوگیری از دستکاری به وسیله کدهای احراز هویت پیام (MACs) یا امضاهای دیجیتال
+استفاده کرد.
+
+اصطلاح «اصالت پیام» (message authenticity) به تضمین یکپارچگی اطلاعات، اغلب با استفاده از رمزنگاری
+متقارن و کلیدهای مشترک، اشاره دارد اما هویت فرستنده را احراز نمیکند.
+
+اصطلاح «رمزنگاری احراز هویت شده» (authenticated encryption) نیز یکپارچگی اطلاعات را تضمین میکند و اگر
+از رمزنگاری نامتقارن استفاده شود، میتواند فرستنده را نیز احراز هویت کند.
+
+#### عدم انکار (Non-repudiation)
+
+عدم انکار فرستنده تضمین میکند که شخصی که پیامی را ارسال میکند، نتواند بعداً ارسال آن را انکار کند.
+عدم انکار گیرنده به این معناست که گیرنده یک پیام نتواند دریافت آن را انکار کند. میتوان از رمزنگاری
+برای ارائه عدم انکار از طریق پیامها یا پاسخهای غیرقابل جعل استفاده کرد.
+
+عدم انکار برای تبادلات مالی، تجارت الکترونیک و قراردادها مفید است. این کار میتواند با امضای دیجیتالی
+یک رکورد تراکنش منحصر به فرد توسط فرستنده یا گیرنده انجام شود.
+
+#### گواهیدهی (Attestation)
+
+گواهیدهی عمل «شهادت دادن» یا تأیید چیزی برای یک کاربرد یا هدف خاص است. گواهیدهی به طور کلی در زمینه
+ماژول پلتفرم مورد اعتماد (TPM)، مدیریت حقوق دیجیتال (DRM) و بوت امن UEFI مورد بحث قرار میگیرد.
+
+به عنوان مثال، مدیریت حقوق دیجیتال به گواهی این موضوع علاقهمند است که دستگاه یا سیستم شما با یک در پشتی
+(back-door) که به کسی اجازه کپی غیرقانونی محتوای محافظتشده با DRM را میدهد، به خطر نیفتاده باشد.
+
+میتوان از رمزنگاری برای ارائه زنجیرهای از شواهد مبنی بر اینکه همه چیز همانطور که انتظار میرود است،
+تا به یک چالشگر ثابت شود که همه چیز مطابق با انتظارات اوست. به عنوان مثال، میتوان از گواهیدهی از
+راه دور برای اثبات به یک چالشگر استفاده کرد که شما واقعاً در حال اجرای نرمافزاری هستید که ادعا
+میکنید. اغلب گواهیدهی با ارائه زنجیرهای از امضاهای دیجیتال که با یک بوت لودر مورد اعتماد (امضا
+شده دیجیتالی) شروع میشود، انجام میگردد.
+
+#### هشهای رمزنگاری
+
+هشهای رمزنگاری که به آنها خلاصهی پیام (message digests) نیز گفته میشود، توابعی هستند که رشتههای
+بیتی با طول دلخواه را به یک رشته بیتی با طول ثابت به نام «مقدار هش» یا «مقدار خلاصه» نگاشت میکنند.
+این توابع هش، نگاشتهای چند به یک هستند که توابع فشردهسازی محسوب میشوند.
+
+توابع هش رمزنگاری برای تأمین یکپارچگی دادهها (یعنی شناسایی دستکاری عمدی دادهها)، ذخیره رمزهای عبور
+یا عبارات عبور و ارائه امضاهای دیجیتال به روشی کارآمدتر از رمزهای نامتقارن استفاده میشوند. توابع هش
+رمزنگاری همچنین برای گسترش مقدار نسبتاً کوچکی از آنتروپی استفاده میشوند تا بتوان مولدهای اعداد تصادفی
+امن ساخت.
+
+هنگامی که برای تأمین یکپارچگی دادهها استفاده میشوند، توابع رمزنگاری دو نوع یکپارچگی را فراهم میکنند:
+هشهای کلیددار که اغلب «کدهای احراز هویت پیام» نامیده میشوند و هشهای بدون کلید که «کدهای یکپارچگی
+پیام» نامیده میشوند.
+
+#### رمزها (Ciphers)
+
+رمز (Cipher) الگوریتمی است که رمزگذاری یا رمزگشایی را انجام میدهد. رمزهای مدرن را میتوان به چند
+روش مختلف دستهبندی کرد. رایجترین تمایز بین آنها عبارتند از:
+
+* اینکه آیا روی تعداد ثابتی از بیتها کار میکنند (رمزهای قالبی یا block ciphers) یا روی یک جریان
+ پیوسته از بیتها (رمزهای جریانی یا stream ciphers).
+* اینکه آیا از کلید یکسانی برای رمزگذاری و رمزگشایی استفاده میشود (رمزهای متقارن یا symmetric ciphers)
+ یا از کلیدهای جداگانه برای رمزگذاری و رمزگشایی (رمزهای نامتقارن یا asymmetric ciphers).
+
+#### رمزهای متقارن (Symmetric Ciphers)
+
+رمزهای متقارن با استفاده از یک کلید یکسان، رمزگذاری و رمزگشایی میکنند. این بدان معناست که اگر یک طرف
+دادهها را رمزگذاری کند و طرف دیگر باید آن را رمزگشایی کند، آن دو طرف باید یک کلید مشترک داشته باشند.
+
+رمزهای متقارن دو نوع اصلی دارند:
+
+1. رمزهای قالبی (Block ciphers)، که هر بار روی یک بلوک از کاراکترها (معمولاً ۸ یا ۱۶ اکتت) عمل میکنند.
+ نمونهای از رمز قالبی، AES است.
+2. رمزهای جریانی (Stream ciphers)، که هر بار روی یک بیت (یا گاهی یک بایت) عمل میکنند. نمونههایی از
+ رمزهای جریانی RC4 (معروف به ARC4) و Salsa20 هستند.
+
+توجه داشته باشید که تمام رمزهای قالبی با انتخاب حالت رمز مناسب میتوانند در «حالت جریانی» نیز عمل کنند.
+
+#### حالتهای رمز (Cipher Modes)
+
+رمزهای قالبی میتوانند در حالتهای عملیاتی مختلفی به نام «حالتهای رمز» کار کنند. این حالت رمز به
+صورت الگوریتمی نحوه عملکرد یک رمز را برای اعمال مکرر مکانیزم رمزگذاری یا رمزگشایی خود بر روی یک
+بلوک رمز معین توصیف میکند. حالتهای رمز مهم هستند زیرا تأثیر بسیار زیادی بر محرمانگی و اصالت پیام
+متنهای رمز شده حاصل دارند.
+
+تقریباً تمام کتابخانههای رمزنگاری از چهار حالت رمز اصلی DES یعنی ECB، CBC (زنجیرهسازی بلوک رمز)،
+OFB (بازخورد خروجی) و CFB (بازخورد رمز) پشتیبانی میکنند. بسیاری نیز از حالت CTR (شمارنده)
+پشتیبانی میکنند.
+
+#### بردار اولیه (Initialization vector)
+
+بردار اولیه رمزنگاری (IV) یک ورودی با اندازه ثابت برای تابع اولیه رمزگذاری / رمزگشایی یک رمز قالبی است.
+توصیه میشود (و در بسیاری موارد، الزامی است) که IV تصادفی یا حداقل شبه تصادفی باشد.
+
+#### ایجاد فاصله (Padding)
+
+رمزهای قالبی، به جز زمانی که در حالت جریانی کار میکنند، معمولاً روی بلوکهایی با اندازه ثابت عمل
+میکنند. این رمزهای قالبی باید بتوانند روی پیامهایی با هر اندازهای نیز کار کنند، نه فقط آنهایی که
+مضرب صحیحی از اندازه بلوک رمز هستند، و بنابراین میتوان پیام را فاصلهگذاری (padded) کرد تا در
+بلوک بعدی با اندازه ثابت قرار گیرد.
+
+#### رمزهای نامتقارن (Asymmetric ciphers)
+
+رمزهای نامتقارن با دو کلید متفاوت رمزگذاری و رمزگشایی میکنند. یک کلید معمولاً به عنوان کلید خصوصی و
+دیگری به عنوان کلید عمومی تعیین میشود. به طور کلی، کلید عمومی به طور گسترده به اشتراک گذاشته میشود
+و کلید خصوصی امن نگه داشته میشود.
+
+رمزهای نامتقارن چندین برابر کندتر از رمزهای متقارن هستند. به همین دلیل، آنها اغلب در سیستمهای رمزنگاری
+ترکیبی (hybrid cryptosystems) که رمزهای نامتقارن و متقارن را ترکیب میکنند، استفاده میشوند. در چنین
+سیستمهای ترکیبی، یک کلید جلسه متقارن تصادفی تولید میشود که فقط برای مدت زمان ارتباط رمزگذاری شده
+استفاده میشود. سپس این کلید جلسه تصادفی با استفاده از یک رمز نامتقارن و کلید خصوصی گیرنده رمزگذاری
+میشود. دادههای متنی ساده (plaintext) خود با کلید جلسه رمزگذاری میشوند. سپس کل بسته (کلید جلسه
+رمزگذاری شده و پیام رمزگذاری شده) با هم ارسال میشود.
+
+هر دو TLS و S/MIME سیستمهای رمزنگاری رایجی هستند که از رمزنگاری ترکیبی استفاده میکنند.
+
+#### امضای دیجیتال (Digital signature)
+
+امضاهای دیجیتال یک رشته داده منحصر به فرد رمزنگاری شده هستند که برای تضمین یکپارچگی دادهها، اثبات
+اصالت یک پیام دیجیتال و مرتبط کردن یک پیام ورودی با یک موجودیت مبدأ استفاده میشوند. الگوریتم تولید
+امضای دیجیتال یک الگوریتم قوی رمزنگاری است که برای تولید امضای دیجیتال استفاده میشود.
+
+#### پروتکل توافق کلید (Key agreement protocol)
+
+پروتکلهای توافق کلید، پروتکلهایی هستند که به وسیله آنها N طرف (معمولاً دو طرف) میتوانند بر روی
+یک کلید مشترک بدون تبادل واقعی کلید به توافق برسند. در صورت طراحی و پیادهسازی صحیح، پروتکلهای توافق
+کلید از یادگیری کلید توسط دشمنان یا تحمیل انتخاب کلید خودشان بر طرفهای شرکتکننده جلوگیری میکنند.
+
+#### رمزگذاری در سطح اپلیکیشن (Application level encryption)
+
+رمزگذاری در سطح اپلیکیشن به رمزگذاریای اطلاق میشود که بخشی از خود اپلیکیشن در نظر گرفته میشود؛ این
+موضوع هیچ چیزی را در مورد اینکه رمزگذاری واقعاً در کجای کد اپلیکیشن انجام میشود، بیان نمیکند.
+
+#### استخراج کلید (Key derivation)
+
+تابع استخراج کلید (KDF) یک الگوریتم قطعی برای استخراج یک کلید با اندازه معین از یک مقدار مخفی است.
+اگر دو طرف از یک مقدار مخفی مشترک و یک KDF یکسان استفاده کنند، باید همیشه دقیقاً همان کلید را استخراج کنند.
+
+#### پوشش کلید (Key wrapping)
+
+پوشش کلید، ساختاری است که با رمزهای متقارن برای محافظت از مواد کلید رمزنگاری از طریق رمزگذاری آن به
+روشی خاص استفاده میشود. الگوریتمهای پوشش کلید برای محافظت از کلیدها در حین نگهداری در حافظه غیرقابل
+اعتماد یا هنگام انتقال کلیدها از طریق شبکههای ارتباطی ناامن در نظر گرفته شدهاند.
+
+#### الگوریتمهای تبادل کلید (Key exchange algorithms)
+
+الگوریتمهای تبادل کلید (که به آنها الگوریتمهای ایجاد کلید نیز گفته میشود) پروتکلهایی هستند که برای
+تبادل کلیدهای رمزنگاری مخفی بین فرستنده و گیرنده به روشی که محدودیتهای امنیتی خاصی را برآورده کند،
+استفاده میشوند. الگوریتمهای تبادل کلید سعی در حل مشکل به اشتراکگذاری امن یک کلید مخفی مشترک با دو
+طرف از طریق یک کانال ارتباطی ناامن به گونهای دارند که هیچ طرف دیگری نتواند به نسخهای از کلید مخفی
+دسترسی پیدا کند.
+
+آشناترین الگوریتم تبادل کلید، تبادل کلید دیفی-هلمن است. الگوریتمهای تبادل کلید احراز هویت شده با
+رمز عبور نیز وجود دارند. تبادل کلید RSA با استفاده از PKI یا وبهای اعتماد یا سرورهای کلید مورد
+اعتماد نیز به طور رایج استفاده میشوند.
+
+#### پروتکلهای انتقال کلید (Key transport protocols)
+
+پروتکلهای انتقال کلید پروتکلهایی هستند که در آنها یک طرف کلید را تولید کرده و آن را به طور امن برای
+گیرنده(ها) ارسال میکند.
+
+#### پروتکلهای توافق کلید (Key agreement protocols)
+
+پروتکلهای توافق کلید پروتکلهایی هستند که به وسیله آنها N طرف (معمولاً دو طرف) میتوانند بر روی یک
+کلید مشترک به توافق برسند در حالی که همه طرفها در مقدار کلید مشارکت دارند. این پروتکلها از یادگیری
+کلید توسط دشمنان یا تحمیل انتخاب کلید خودشان بر طرفهای شرکتکننده جلوگیری میکنند.
+
+#### منابع (References)
+
+* مجموعه Cheat Sheetهای OWASP
+ * [Authentication](https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html)
+ * [Authorization](https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet.html)
+ * [Cryptographic Storage](https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet.html)
+ * [Key Management](https://cheatsheetseries.owasp.org/cheatsheets/Key_Management_Cheat_Sheet.html)
+ * [OAuth 2.0 Protocol](https://cheatsheetseries.owasp.org/cheatsheets/OAuth2_Cheat_Sheet)
+ * [SAML Security](https://cheatsheetseries.owasp.org/cheatsheets/SAML_Security_Cheat_Sheet.html)
+ * [Secure Product Design](https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html)
+ * [User Privacy Protection](https://cheatsheetseries.owasp.org/cheatsheets/User_Privacy_Protection_Cheat_Sheet.html)
+
+---
+
+راهنمای توسعهدهنده OWASP یک تلاش اجتماعی است؛ اگر چیزی نیاز به تغییر دارد، لطفاً
+[یک ایشو ثبت کنید][issue0404] یا [در گیتهاب ویرایش کنید][edit0404].
+
+[edit0404]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/04-crypto-principles.md
+[issue0404]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/04-crypto-principles
diff --git a/docs/fa/02-foundations/05-top-ten.md b/docs/fa/02-foundations/05-top-ten.md
new file mode 100644
index 00000000..92de2a8b
--- /dev/null
+++ b/docs/fa/02-foundations/05-top-ten.md
@@ -0,0 +1,213 @@
+{ align=right width=180 }
+
+OWASP Top Ten یک فهرست بسیار شناختهشده از خطرات امنیتی اپلیکیشنهای وب است و توسط مدل تضمین تکامل
+نرمافزار OWASP ([SAMM][samm]) در بخش آموزش و راهنمایی (Education & Guidance) در زیرمجموعه عملکرد
+تجاری حاکمیت (Governance) گنجانده شده است.
+
+#### نمای کلی
+
+پروژه [۱۰ ریسک امنیتی برتر اپلیکیشنهای وب OWASP](https://owasp.org/www-project-top-ten/) احتمالاً
+شناختهشدهترین مفهوم امنیتی در جامعه امنیت است که اندکی پس از انتشارش در سال ۲۰۰۳ به پذیرش و شهرت
+گستردهای دست یافت. این فهرست که اغلب فقط «OWASP Top Ten» نامیده میشود، لیستی است که مهمترین تهدیدات
+برای اپلیکیشنهای وب را شناسایی کرده و به دنبال رتبهبندی آنها بر اساس اهمیت و شدت است.
+
+این فهرست با گذشت زمان تغییر کرده است؛ با تغییر فناوریها، برخی از انواع تهدیدات به مشکل بزرگتری برای
+اپلیکیشنهای وب تبدیل شده و برخی دیگر به ریسک کمتری مبدل شدهاند. [آخرین نسخه](https://owasp.org/Top10/)
+در سال ۲۰۲۱ منتشر شد و هر دسته در ادامه به طور خلاصه شرح داده شده است.
+
+توجه داشته باشید که پروژههای مختلف «OWASP Top Ten» وجود دارد، به عنوان مثال «۱۰ مورد برتر OWASP برای
+اپلیکیشنهای مدلهای زبان بزرگ»، بنابراین برای جلوگیری از سردرگمی، هنگام ارجاع به این لیستها باید به
+زمینه (context) توجه شود.
+
+#### A01:2021 کنترل دسترسی ناقص (Broken Access Control)
+
+کنترل دسترسی شامل استفاده از مکانیسمهای حفاظتی است که میتوان آنها را به دستههای زیر طبقهبندی کرد:
+
+- احراز هویت (Authentication): اثبات هویت یک عامل.
+- مجوزدهی (Authorization): اطمینان از اینکه یک عامل معین میتواند به یک منبع دسترسی داشته باشد.
+- پایش (Accountability): رصد و ردیابی فعالیتهایی که انجام شده است.
+
+کنترل دسترسی ناقص زمانی رخ میدهد که محصول، دسترسی یک عامل غیرمجاز یا مخرب به یک منبع را محدود نمیکند
+یا به اشتباه محدود میکند.
+
+هنگامی که یک کنترل امنیتی شکست میخورد یا اعمال نمیشود، مهاجمان میتوانند با به دست آوردن امتیاز دسترسی،
+خواندن اطلاعات حساس، اجرای دستورات، فرار از شناسایی و غیره، امنیت محصول را به خطر بیندازند.
+
+کنترل دسترسی ناقص میتواند اشکال مختلفی داشته باشد، مانند پیمایش مسیر (path traversal) یا ارتقاء امتیاز
+دسترسیهای امنیتی (elevation of privilege)، بنابراین به هر دو منبع
+[شمارش ضعفهای متداول CWE-284](https://cwe.mitre.org/data/definitions/284.html) و
+[A01 کنترل دسترسی ناقص](https://owasp.org/Top10/A01_2021-Broken_Access_Control/) مراجعه کرده و همچنین
+[Cheat Sheetهای مختلف OWASP](https://cheatsheetseries.owasp.org/IndexTopTen.html#a012021-broken-access-control)
+مربوط به کنترلهای دسترسی را دنبال کنید.
+
+#### A02:2021 نقصهای رمزنگاری (Cryptographic Failures)
+
+با ارجاع به [OWASP Top 10 A02:2021](https://owasp.org/Top10/A02_2021-Cryptographic_Failures/)، دادههای
+حساس باید هنگام ذخیرهسازی (at rest) و انتقال (in transit) محافظت شوند.
+
+نقصهای رمزنگاری زمانی رخ میدهند که کنترل امنیتی رمزنگاری شکسته شده یا اعمال نشده باشد و دادهها در
+معرض عوامل غیرمجاز - چه مخرب و چه غیرمخرب - قرار گیرند.
+
+مهم است که دادهها هم در حالت سکون، یعنی زمانی که در بخشی از حافظه ذخیره شدهاند، و هم در حالت انتقال،
+مانند زمانی که از طریق یک کانال ارتباطی منتقل یا در حال تبدیل هستند، محافظت شوند. یک مثال خوب از
+حفاظت در حین تبدیل داده توسط
+[A02 نقصهای رمزنگاری](https://owasp.org/Top10/A02_2021-Cryptographic_Failures/) ارائه شده است که در
+آن دادههای حساس به درستی در یک پایگاه داده رمزگذاری شدهاند، اما تابع صدور (export) به طور خودکار
+دادهها را رمزگشایی میکند که منجر به افشای دادههای حساس میشود.
+
+نقصهای کریپتو میتوانند اشکال مختلفی داشته باشند و ممکن است ظریف باشند - یک کنترل امنیتی که امن به
+نظر میرسد ممکن است به راحتی شکسته شود. برای پیادهسازی کنترلهای اولیه رمزنگاری،
+[Cheat Sheetهای کریپتو OWASP](https://cheatsheetseries.owasp.org/IndexTopTen.html#a022021-cryptographic-failures)
+را دنبال کنید و در نظر داشته باشید که یک ممیزی رمزنگاری را نیز اجرا کنید.
+
+#### A03:2021 تزریق (Injection)
+
+فقدان اعتبارسنجی و پاکسازی ورودیها میتواند به اکسپلویتهای تزریق منجر شود و این ریسک از زمان انتشار
+اولین نسخه OWASP Top Ten در سال ۲۰۰۳ یک ویژگی ثابت در این فهرست بوده است.
+
+این آسیبپذیریها زمانی رخ میدهند که دادههای متخاصم مستقیماً در اپلیکیشن استفاده شوند و میتوانند
+منجر به استفاده از دادههای مخرب برای منحرف کردن اپلیکیشن شوند؛ برای توضیحات بیشتر به
+[A03 Injection](https://owasp.org/Top10/A03_2021-Injection/) مراجعه کنید.
+
+کنترل امنیتی واضح است: تمام ورودیها از منابع غیرقابل اعتماد باید پاکسازی و اعتبارسنجی شوند.
+
+برای انواع مختلف ورودیها و کنترلهای آنها به
+[Cheat Sheetهای تزریق](https://cheatsheetseries.owasp.org/IndexTopTen.html#a032021-injection) مراجعه کنید.
+
+#### A04:2021 طراحی ناامن (Insecure Design)
+
+مهم است که امنیت از ابتدا در اپلیکیشنها گنجانده شود و نه به عنوان یک فکر ثانویه به آن اضافه گردد.
+دستهبندی [A04 طراحی ناامن](https://owasp.org/Top10/A04_2021-Insecure_Design/) این موضوع را به رسمیت
+میشناسد و توصیه میکند که استفاده از مدلسازی تهدید (threat modeling)، الگوهای طراحی امن و معماریهای
+مرجع باید در فعالیتهای طراحی و معماری اپلیکیشن گنجانده شود.
+
+در عمل، این شامل ایجاد یک چرخه عمر توسعه امن است که شناسایی نیازمندیهای امنیتی، استفاده دورهای از
+مدلسازی تهدید و در نظر گرفتن کتابخانهها و فریمورکهای امن موجود را تشویق میکند. این دسته در نسخه
+۲۰۲۱ معرفی شد و در حال حاضر Cheat Sheetهای پشتیبان آن فقط
+[مدلسازی تهدید](https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html)
+را پوشش میدهند؛ انتظار میرود با جا افتادن بیشتر این دسته، اطلاعات پشتیبانی بیشتری در دسترس قرار گیرد.
+
+#### A05:2021 پیکربندی نادرست امنیتی (Security Misconfiguration)
+
+سیستمها و اپلیکیشنهای بزرگ میتوانند قابل پیکربندی باشند و این پیکربندی اغلب برای امنسازی
+سیستم/اپلیکیشن استفاده میشود.
+
+اگر این پیکربندی به اشتباه اعمال شود، ممکن است اپلیکیشن دیگر امن نباشد و در عوض در برابر اکسپلویتهای
+شناختهشده آسیبپذیر شود.
+
+صفحه [A05 Security Misconfiguration](https://owasp.org/Top10/A05_2021-Security_Misconfiguration/)
+یک مثال رایج از پیکربندی نادرست را شامل میشود که در آن حسابهای کاربری پیشفرض و رمزهای عبور آنها
+همچنان فعال و بدون تغییر باقی ماندهاند.
+
+این رمزهای عبور و حسابها معمولاً به خوبی شناخته شدهاند و راهی آسان برای عوامل مخرب جهت نفوذ به
+اپلیکیشنها فراهم میکنند.
+
+هر دو منبع [OWASP Top 10 A05:2021](https://owasp.org/Top10/A05_2021-Security_Misconfiguration/) و
+[Cheat Sheetهای OWASP](https://cheatsheetseries.owasp.org/IndexTopTen.html#a052021-security-misconfiguration)
+مرتبط، استراتژیهایی را برای ایجاد یک فرآیند پیکربندی امنیتی هماهنگ و تکرارپذیر برای اپلیکیشن ارائه
+میدهند تا پیکربندیهای نادرست به حداقل برسد.
+
+#### A06:2021 مؤلفههای آسیبپذیر و قدیمی (Vulnerable and Outdated Components)
+
+شاید یکی از سادهترین و مؤثرترین فعالیتهای امنیتی، بهروز نگه داشتن تمام وابستگیهای نرمافزاری
+شخص ثالث باشد.
+
+اگر یک وابستگی آسیبپذیر توسط یک عامل مخرب در مرحله شناسایی (reconnaissance) یک حمله شناسایی شود،
+پایگاههای دادهای مانند [Exploit Database](https://www.exploit-db.com/) وجود دارند که شرح هر اکسپلویت
+را ارائه میدهند. این پایگاههای داده همچنین میتوانند اسکریپتها و تکنیکهای آمادهای برای حمله به
+یک آسیبپذیری خاص فراهم کنند، که بهرهبرداری از وابستگیهای نرمافزاری شخص ثالث آسیبپذیر را آسان میسازد.
+
+ریسک [A06 مؤلفههای آسیبپذیر و قدیمی](https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/)
+بر اهمیت این فعالیت تأکید میکند و توصیه میکند که اصلاحات و ارتقاء پلتفرم، فریمورکها و وابستگیهای
+زیربنایی بر اساس ارزیابی ریسک و به «شیوهای به موقع» انجام شود. ابزارهای متعددی میتوانند برای تجزیه
+و تحلیل وابستگیها و شناسایی آسیبپذیریها استفاده شوند؛ برای این ابزارها به
+[Cheat Sheetها](https://cheatsheetseries.owasp.org/IndexTopTen.html#a062021-vulnerable-and-outdated-components)
+مراجعه کنید.
+
+#### A07:2021 نقصهای شناسایی و احراز هویت (Identification and Authentication Failures)
+
+تأیید هویت کاربر، احراز هویت و مدیریت جلسه برای محافظت از سیستم یا اپلیکیشن در برابر حملات مرتبط با
+احراز هویت حیاتی است. با ارجاع به ریسک
+[A07 نقصهای شناسایی و احراز هویت](https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/)،
+مجوزدهی میتواند به روشهای مختلفی با شکست مواجه شود که اغلب شامل سایر ریسکهای OWASP Top Ten است:
+
+- کنترلهای دسترسی ناقص (A01)
+- نقص رمزنگاری (A02)
+- رمزهای عبور پیشفرض (A05)
+- کتابخانههای قدیمی (A06)
+
+برای چندین رویه خوب که برای مجوزدهی امن لازم است، به
+[Cheat Sheetها](https://cheatsheetseries.owasp.org/IndexTopTen.html#a072021-identification-and-authentication-failures)
+مراجعه کنید.
+
+همچنین تأمینکنندگان شخص ثالثی برای مدیریت هویت و دسترسی (IAM) وجود دارند که این را به عنوان یک
+سرویس ارائه میدهند؛ هزینه و فایده استفاده از این تأمینکنندگان را در نظر بگیرید.
+
+#### A08:2021 نقصهای یکپارچگی نرمافزار و داده (Software and Data Integrity Failures)
+
+نقصهای یکپارچگی نرمافزار و داده به کد و زیرساختی مربوط میشود که در برابر نقض یکپارچگی محافظت نمیکنند.
+
+این یک دستهبندی گسترده است که به عنوان مثال
+[حملات زنجیره تأمین](https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet.html)،
+بهروزرسانی خودکار به خطر افتاده و استفاده از مؤلفههای غیرقابل اعتماد را توصیف میکند.
+
+[A08 Software and Data Integrity Failures](https://owasp.org/Top10/A08_2021-Software_and_Data_Integrity_Failures/)
+یک دسته جدید بود که در سال ۲۰۲۱ معرفی شد، بنابراین اطلاعات کمی از
+[Cheat Sheetها](https://cheatsheetseries.owasp.org/IndexTopTen.html#a082021-software-and-data-integrity-failures)
+در دسترس است، اما با توجه به اهمیت این تهدید، این وضعیت قطعاً تغییر خواهد کرد.
+
+#### A09:2021 نقصهای ثبت وقایع و نظارت امنیتی (Security Logging and Monitoring Failures)
+
+ثبت وقایع و نظارت به شناسایی، تشدید و پاسخ به نفوذهای فعال کمک میکند؛ بدون آن، نفوذها شناسایی نخواهند شد.
+[A09 نقصهای ثبت وقایع و نظارت امنیتی](https://owasp.org/Top10/A09_2021-Security_Logging_and_Monitoring_Failures/)
+تکنیکهای مختلف ثبت وقایع و نظارت را فهرست میکند که باید آشنا باشند، اما همچنین موارد دیگری که ممکن
+است چندان رایج نباشند را نیز شامل میشود؛ به عنوان مثال، نظارت بر زنجیره تأمین DevOps ممکن است به همان
+اندازه نظارت بر اپلیکیشن یا سیستم مهم باشد.
+
+[Cheat Sheetها](https://cheatsheetseries.owasp.org/IndexTopTen.html#a092021-security-logging-and-monitoring-failures)
+راهنماییهایی در مورد ثبت وقایع کافی ارائه میدهند و همچنین یک واژگان مشترک برای ثبت وقایع فراهم میکنند.
+هدف از این واژگان مشترک، ارائه ثبت وقایعی است که از مجموعهای مشترک از اصطلاحات، فرمتها و کلمات کلیدی
+استفاده میکند؛ و این امر نظارت، تحلیل و هشداردهی را آسانتر میکند.
+
+#### A10:2021 جعل درخواست سمت سرور (Server-Side Request Forgery)
+
+با ارجاع به [A10 جعل درخواست سمت سرور (SSRF)](https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/)،
+این آسیبپذیریها میتوانند هر زمانی که یک اپلیکیشن وب در حال واکشی یک منبع از راه دور بدون اعتبارسنجی
+URL ارائهشده توسط کاربر باشد، رخ دهند. این اکسپلویتها به یک مهاجم اجازه میدهند تا اپلیکیشن را وادار
+به ارسال یک درخواست دستکاریشده به یک مقصد غیرمنتظره کند، حتی زمانی که توسط یک فایروال، VPN یا نوع دیگری
+از لیست کنترل دسترسی شبکه محافظت میشود. واکشی یک URL به یک سناریوی رایج برای اپلیکیشنهای وب مدرن تبدیل
+شده و در نتیجه، وقوع SSRF به ویژه برای
+[سرویسهای ابری](https://cheatsheetseries.owasp.org/cheatsheets/Secure_Cloud_Architecture_Cheat_Sheet.html)
+و معماریهای پیچیدهتر اپلیکیشن در حال افزایش است.
+
+این یک دسته جدید است که در سال ۲۰۲۱ با یک
+[Cheat Sheet](https://cheatsheetseries.owasp.org/IndexTopTen.html#a102021-server-side-request-forgery-ssrf)
+(در حال حاضر) که به SSRF میپردازد، معرفی شد.
+
+#### لیستهای ده مورد برتر OWASP
+
+پروژههای مختلف «۱۰ مورد برتر» توسط OWASP ایجاد شدهاند که بسته به زمینه، ممکن است به آنها نیز «OWASP Top 10»
+گفته شود. در اینجا لیستی از پروژههای پایدار «OWASP Top 10» آمده است:
+
+- [۱۰ مورد برتر امنیت API](https://owasp.org/API-Security/)
+- [۱۰ مورد برتر امنیت داده](https://owasp.org/www-project-data-security-top-10/)
+- [۱۰ مورد برتر Low-Code/No-Code](https://owasp.org/www-project-top-10-low-code-no-code-security-risks/)
+- [۱۰ مورد برتر موبایل](https://owasp.org/www-project-mobile-top-10/)
+- [۱۰ مورد برتر بدون سرور (Serverless)](https://owasp.org/www-project-serverless-top-10/)
+- [۱۰ ریسک امنیتی برتر CI/CD](https://owasp.org/www-project-top-10-ci-cd-security-risks/)
+- [۱۰ مورد برتر برای اپلیکیشنهای مدلهای زبان بزرگ](https://owasp.org/www-project-top-10-for-large-language-model-applications/)
+- [۱۰ ریسک برتر حریم خصوصی](https://owasp.org/www-project-top-10-privacy-risks/)
+- [۱۰ کنترل پیشگیرانه برتر](https://owasp.org/www-project-proactive-controls/)
+- [۱۰ ریسک امنیتی برتر اپلیکیشنهای وب](https://owasp.org/Top10/)
+
+سایر لیستهای ده مورد برتر OWASP پروژههای «انکوباتور» هستند که در حال انجام میباشند، بنابراین این
+لیست با گذشت زمان تغییر خواهد کرد.
+
+---
+
+راهنمای توسعهدهنده OWASP یک تلاش اجتماعی است؛ اگر چیزی نیاز به تغییر دارد، لطفاً
+[یک ایشو ثبت کنید][issue0405] یا [در گیتهاب ویرایش کنید][edit0405].
+
+[samm]: https://owaspsamm.org/about/
+[issue0405]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/05-top-ten
+[edit0405]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/05-top-ten.md
diff --git a/docs/fa/02-foundations/index.md b/docs/fa/02-foundations/index.md
new file mode 100644
index 00000000..230d5de6
--- /dev/null
+++ b/docs/fa/02-foundations/index.md
@@ -0,0 +1,29 @@
+{ align=right width=180 }
+
+مفاهیم و اصطلاحات پایهای گوناگونی وجود دارند که معمولاً در امنیت نرمافزار استفاده میشوند.
+اگرچه پیادهسازی بسیاری از این مفاهیم پیچیده و مبتنی بر تئوریهای سنگین است، اما اصول آنها اغلب
+کاملاً سرراست و برای هر مهندس نرمافزاری قابل درک است.
+
+درک معقولی از این مفاهیم بنیادی به تیمهای توسعه اجازه میدهد تا امنیت نرمافزار را برای اپلیکیشن یا
+سیستمی که در حال توسعه است، درک و پیادهسازی کنند.
+
+این راهنمای توسعهدهنده تنها میتواند یک نمای کلی و مختصر از این مفاهیم ارائه دهد؛ برای دانش عمیقتر
+به متون متعدد در زمینه امنیت مانند
+[پیکره دانش امنیت سایبری (The Cyber Security Body Of Knowledge)](https://www.cybok.org/) مراجعه کنید.
+
+اگر قرار است تغییراتی در فرهنگ امنیتی یک سازمان ایجاد شود، اطمینان حاصل کنید که حمایت مدیریت و اهداف
+روشنی برای دستیابی وجود دارد.
+
+بدون اینها، تلاشها برای بهبود وضعیت امنیتی احتمالاً با شکست مواجه خواهند شد - برای درک اهمیت همکاری
+تیمهای مدیریت، امنیت و توسعه، به پروژه
+[فرهنگ امنیت (Security Culture)][culturegoal]
+مراجعه کنید.
+
+---
+
+راهنمای توسعهدهنده OWASP یک تلاش اجتماعی است؛ اگر چیزی نیاز به تغییر دارد، لطفاً
+[یک ایشو ثبت کنید][issue0400] یا [در گیتهاب ویرایش کنید][edit0400].
+
+[culturegoal]: https://owasp.org/www-project-security-culture/stable/3-Goal_Setting_and_Security_Team_Collaboration/
+[edit0400]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/index.md
+[issue0400]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/index
diff --git a/docs/fa/index.md b/docs/fa/index.md
new file mode 100644
index 00000000..a3ef3673
--- /dev/null
+++ b/docs/fa/index.md
@@ -0,0 +1,69 @@
+{ align=right width="180" }
+
+Welcome to the OWASP Development Guide.
+
+The Open Worldwide Application Security Project ([OWASP][about]) is a nonprofit foundation
+that works to improve the security of software.
+It is an open community dedicated to enabling organizations to
+conceive, develop, acquire, operate, and maintain applications that can be trusted.
+
+Along with the OWASP Top Ten, the Developer Guide is one of the original resources
+published soon after the OWASP foundation was formed in 2001.
+Version 1.0 of the Developer Guide was released in 2002
+and since then there have been various [releases][versions] culminating in version 2.0 in 2005.
+Since then the guide has been revised extensively to bring it up to date.
+The latest versions are 4.x because version 3.0 was never released.
+
+The purpose of this guide is to provide an introduction to security concepts
+and a handy reference for application / system developers.
+Generally it describes security practices using the advice given in the
+OWASP Software Assurance Maturity Model ([SAMM][samm]) and describes the OWASP projects
+referenced in the OWASP [Application Security Wayfinder][intstand] project.
+
+This guide does not seek to replicate the many excellent sources on specific security topics;
+it rarely tries to go into detail on a subject and instead provides links for greater depth on these security topics.
+Instead the content of the Developer Guide aims to be accessible, introducing practical security concepts
+and providing enough detail to get developers started on various OWASP tools and documents.
+
+All of the OWASP projects and tools described in this guide are free to download and use.
+All OWASP projects are open source; please do get involved if you are interested in improving application security.
+
+#### Audience
+
+Developers should use this OWASP Developer Guide to help write applications that are more secure.
+The guide has been written by the security community to help software developers write solid,
+safe and secure applications.
+Most of the contributors to this guide are also software developers as well as security engineers,
+and this helps to keep the focus developer-centric.
+
+If you are in a hurry and want information on a specific subject then
+try the [OpenCRE chat][opencrechat] LLM for immediate answers.
+
+#### What is the Developer Guide?
+
+You can think of this guide as a cross-reference source to the many tools and documents that OWASP provides for developers.
+
+_Or_ you can regard the purpose of this guide as answering the question:
+“I am a developer and I need a reference guide to navigate the numerous security tools
+and security activities that I know I should be doing."
+
+_Or_ think of it as a collection of articles that introduce developers to the wide domain of application security.
+
+_Or_ you can regard this guide as a companion document to the OWASP [Integration Standards][intstand] project:
+the Application Security Wayfinder maps out the many tools,
+projects and documents within OWASP and the Developer Guide provides some 'wordy' context for this.
+
+[][intstand]
+
+----
+
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue03] or [edit on GitHub][edit03].
+
+[about]: https://owasp.org/about/
+[edit03]: https://github.com/OWASP/DevGuide/blob/main/docs/index.md
+[intstand]: https://owasp.org/www-project-integration-standards/
+[issue03]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2001-introduction
+[opencrechat]: https://www.opencre.org/chatbot
+[samm]: https://owaspsamm.org/about/
+[versions]: https://github.com/OWASP/DevGuide/wiki#old-versions
diff --git a/docs/hi/02-foundations/01-security-fundamentals.md b/docs/hi/02-foundations/01-security-fundamentals.md
new file mode 100644
index 00000000..f5f828c1
--- /dev/null
+++ b/docs/hi/02-foundations/01-security-fundamentals.md
@@ -0,0 +1,177 @@
+The fundamental principles of application security rely on the security concepts referenced in this developer guide.
+This section aims to provide an introduction to fundamental principles that any development team must be familiar with.
+
+#### Software Assurance Maturity Model
+
+{ align=right width=250 }
+
+The Software Assurance Maturity Model ([SAMM][samm]) provides context for the scope of software security
+and the foundations of good security practice:
+
+* [Governance][sammg]
+* [Design][sammd]
+* [Implementation][sammi]
+* [Verification][sammv]
+* [Operations][sammo]
+
+The SAMM model describes these foundations of software security as Business Functions,
+which are further divided into Business Practices.
+The OWASP Software Assurance Maturity Model ([SAMM][samm]) is used throughout this Developer Guide;
+most of the sections in the Developer Guide reference at least one of the Business Functions or Practices from SAMM.
+
+#### CIA triad
+
+Security is simply about controlling who can interact with your information,
+what they can do with it, and when they can interact with it.
+These characteristics of security can be described using the CIA triad.
+
+CIA stands for Confidentiality, Integrity and Availability,
+and it is usually depicted as a triangle representing the strong bonds between its three tenets.
+This triad is considered the pillars of application security,
+often Confidentiality, Integrity or Availability are used as a properties of data or processes within a given system.
+The CIA triad can be extended with the AAA triad: Authorization, Authentication and Auditing.
+
+#### Confidentiality
+
+Confidentiality is the protection of data against unauthorized disclosure;
+it is about ensuring that only those with the correct authorization can access the data
+and applies to both data at rest and to data in transit.
+Confidentiality is also related to the broader concept of data privacy.
+
+#### Integrity
+
+Integrity is about protecting data against unauthorized modification, or assuring data trustworthiness.
+The concept contains the notion of data integrity (data has not been changed accidentally or deliberately)
+and the notion of source integrity (data came from or was changed by a legitimate source).
+
+#### Availability
+
+Availability is about ensuring the presence of information or resources.
+This concept relies not just on the availability of the data itself, for example by using replication of data,
+but also on the protection of the services that provide access to the data, for example by using load balancing.
+
+#### AAA triad
+
+The CIA triad is often extended with Authentication, Authorization and Auditing as these are closely linked to CIA concepts.
+CIA has a strong dependency on Authentication and Authorization;
+the confidentiality and integrity of sensitive data can not be assured without them.
+Auditing is added as it can provide the mechanism to ensure proof of any interaction with the system.
+
+#### Authentication
+
+[Authentication][csauthn] is about confirming the identity of the entity that wants to interact with a secure system.
+For example the entity could be an automated client or a human actor;
+in either case authentication is required for a secure application.
+
+#### Authorization
+
+[Authorization][csauthz] is about specifying access rights to secure resources (data, services, files, applications, etc).
+These rights describe the privileges or access levels related to the resources that are being secured.
+Authorization is usually preceded by successful authentication.
+
+#### Auditing
+
+Auditing is about keeping track of implementation-level events, as well as domain-level events taking place in a system.
+This helps to provide non-repudiation, which means that changes or actions on the protected system are undeniable.
+Auditing can provide not only technical information about the running system,
+but also proof that particular actions have been performed.
+The typical questions that are answered by auditing are "Who did What, When and potentially How?"
+
+#### Vulnerabilities
+
+NIST defines a [vulnerability][nistvuln] as 'Weakness in an information system, system security procedures,
+internal controls, or implementation that could be exploited or triggered by a threat source.'
+
+There are many weaknesses or bugs in every large application, but the term vulnerability is generally reserved
+for those weaknesses or bugs where there is a risk that a threat actor could exploit it using a threat vector.
+
+Well known security vulnerabilities are :
+
+* [Clickjacking][csclick]
+* [Credential Stuffing][cscreds]
+* [Cross-site leaks][csxsleaks]
+* [Denial of Service][csdos] (DoS) attacks
+* DOM based [XSS attacks][csdom] including [DOM Clobbering][csdomclub]
+* [IDOR][csidor] (Insecure Direct Object Reference)
+* [Injection][csinjection] including [OS Command injection][csosinjection] and [XXE][csxxe]
+* LDAP specific [injection attacks][csldap]
+* [Prototype pollution][csproto]
+* [SSRF][csssrf] attacks
+* [SQL injection][cssql] and the use of [Query Parameterization][csquery]
+* [Unvalidated redirects and forwards][csredirect]
+* [XSS attacks][csxss] and [XSS Filter Evasion][csxssevade]
+
+#### HTTP and HTML
+
+Although not a security fundamental as such, web applications rely on HTTP communications and HTML.
+Both application developers and security engineers should have a good understanding of HTTP
+and the HTML language along with their various security controls.
+
+Most application development teams will be familiar with HTTP communications and the HTML standard,
+but if necessary refer to the training from the [W3 Consortium][w3consortium] or the [W3 Schools][w3schools].
+The OWASP [Cheat Sheet Series][cheatsheets] provide web application developers with the information
+needed to produce secure software :
+
+* The [HTML5 Security][cshtml5] cheat sheet describes a wide range of controls,
+ aligned with the current [HTML Living Standard][htmlliving]
+* Refer to the [Securing Cascading Style Sheets][cscss] cheat sheet for CSS
+* The HTTP headers need to be secure, see the [HTTP Security Response Headers][csheaders] cheat sheet
+* Strongly consider [HTTP Strict Transport Security][csstrict]
+* If the application has a file upload feature, follow the [File Upload][csfile] cheat sheet
+* Ensure content security policy is in place with the [Content Security Policy][cscsp] cheat sheet
+* Using JWTs for a Java application? Refer to the [JSON Web Token][csjwt] cheat sheet
+* Storing or sending objects? Check out the [Deserialization][csserial] cheat sheet
+
+#### References
+
+* [WHATWG][whatwg] [HTML Living Standard][htmlliving]
+* OWASP [Cheat Sheet Series][cheatsheets]
+* OWASP [Software Assurance Maturity Model][samm] (SAMM)
+
+----
+
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0401] or [edit on GitHub][edit0401].
+
+[cheatsheets]: https://cheatsheetseries.owasp.org/
+[csclick]: https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet
+[cscreds]: https://cheatsheetseries.owasp.org/cheatsheets/Credential_Stuffing_Prevention_Cheat_Sheet
+[cscsp]: https://cheatsheetseries.owasp.org/cheatsheets/Content_Security_Policy_Cheat_Sheet
+[cscss]: https://cheatsheetseries.owasp.org/cheatsheets/Securing_Cascading_Style_Sheets_Cheat_Sheet
+[csdom]: https://cheatsheetseries.owasp.org/cheatsheets/DOM_based_XSS_Prevention_Cheat_Sheet
+[csdomclub]: https://cheatsheetseries.owasp.org/cheatsheets/DOM_Clobbering_Prevention_Cheat_Sheet
+[csdos]: https://cheatsheetseries.owasp.org/cheatsheets/Denial_of_Service_Cheat_Sheet
+[csidor]: https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet
+[csinjection]: https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet
+[csosinjection]: https://cheatsheetseries.owasp.org/cheatsheets/OS_Command_Injection_Defense_Cheat_Sheet
+[csldap]: https://cheatsheetseries.owasp.org/cheatsheets/LDAP_Injection_Prevention_Cheat_Sheet
+[csproto]: https://cheatsheetseries.owasp.org/cheatsheets/Prototype_Pollution_Prevention_Cheat_Sheet
+[csauthn]: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet
+[csauthz]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet
+[csfile]: https://cheatsheetseries.owasp.org/cheatsheets/File_Upload_Cheat_Sheet
+[csheaders]: https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Headers_Cheat_Sheet
+[cshtml5]: https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet
+[csjwt]: https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet
+[csredirect]: https://cheatsheetseries.owasp.org/cheatsheets/Unvalidated_Redirects_and_Forwards_Cheat_Sheet
+[csserial]: https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet
+[cssql]: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet
+[csquery]: https://cheatsheetseries.owasp.org/cheatsheets/Query_Parameterization_Cheat_Sheet
+[csssrf]: https://cheatsheetseries.owasp.org/cheatsheets/Server_Side_Request_Forgery_Prevention_Cheat_Sheet
+[csstrict]: https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Strict_Transport_Security_Cheat_Sheet
+[csxss]: https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet
+[csxsleaks]: https://cheatsheetseries.owasp.org/cheatsheets/XS_Leaks_Cheat_Sheet
+[csxssevade]: https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet
+[csxxe]: https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet
+[edit0401]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/01-security-fundamentals.md
+[htmlliving]: https://html.spec.whatwg.org/multipage/
+[issue0401]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/01-security-fundamentals
+[nistvuln]: https://csrc.nist.gov/glossary/term/vulnerability
+[samm]: https://owaspsamm.org/about/
+[sammd]: https://owaspsamm.org/model/design/
+[sammg]: https://owaspsamm.org/model/governance/
+[sammi]: https://owaspsamm.org/model/implementation/
+[sammo]: https://owaspsamm.org/model/operations/
+[sammv]: https://owaspsamm.org/model/verification/
+[w3consortium]: https://www.w3.org/
+[w3schools]: https://www.w3schools.com/html/
+[whatwg]: https://whatwg.org/
diff --git a/docs/hi/02-foundations/02-secure-development.md b/docs/hi/02-foundations/02-secure-development.md
new file mode 100644
index 00000000..450700d9
--- /dev/null
+++ b/docs/hi/02-foundations/02-secure-development.md
@@ -0,0 +1,215 @@
+Secure development is described in the OWASP Software Assurance Maturity Model [(SAMM)][samm]
+[Design][sammd], [Implementation][sammi] and [Verification][sammv] business functions.
+Also refer to the [Security Culture][culturewhy] for a good explanation
+on why adding security into the software development lifecycle is important.
+
+#### Prelude
+
+The best introduction to practical secure software development is the
+OWASP [Application Security Fragmentation][sdlc] article :
+
+_Or how I worried less and stood on the shoulders of giants._ - Spyros Gasteratos, Elie Saad
+
+Much of the material in this section is drawn from this OWASP [Integration Standards][intstand] project.
+
+#### Overview
+
+Almost all modern software is developed in an iterative manner passing through phase to phase,
+such as identifying customer requirements, implementation and test.
+These phases are revisited in a cyclic manner throughout the lifetime of the application.
+A notional Software Development LifeCycle (SDLC) is shown below, in practice there may be more or less phases
+according to the processes adopted by the organization.
+
+{ align=right width=180 }
+
+With the increasing number and sophistication of exploits against almost every application or business system,
+most companies have adopted a secure Software Development LifeCycle (SDLC).
+The secure SDLC should never be a separate lifecycle from an existing software development lifecycle,
+it must always be the same development lifecycle as before but with security actions built into each phase,
+otherwise security actions may well be set aside by busy development teams.
+Note that although the Secure SDLC could be written as 'SSDLC' it is almost always written as 'SDLC'.
+
+DevOps integrates and automates many of the SDLC phases and implements Continuous Integration (CI)
+and Continuous Delivery/Deployment (CD) pipelines to provide much of the SDLC automation.
+
+DevOps and pipelines have been successfully exploited with serious large scale consequences
+and so, in a similar manner to the SDLC, much of the DevOps actions have also had security built in to them.
+Secure DevOps, or DevSecOps, builds security practices into the DevOps activities to guard against attack
+and to provide the SDLC with automated security testing.
+
+Examples of how DevSecOps is 'building security in' is the provision of
+Interactive, Static and Dynamic Application Security Testing (IAST, SAST & DAST)
+and implementing supply chain security, and there are many other security activities that can be applied.
+Refer to the [CI/CD Security Cheat Sheet][cscicd] for the latest DevSecOps security controls.
+
+#### Secure development lifecycle
+
+Referring to the OWASP [Application Security Wayfinder][intstand] development cycle
+there are four iterative phases during application development: Requirements, Design, Implementation and Verification.
+The other phases are done less iteratively in the development cycle but these form an equally important
+part of the SDLC: Gap Analysis, Metrics, Operation and Training & Culture Building.
+
+All of these phases of the SDLC should have security activities built into them,
+rather than done as separate activities. If security is built into these phases then the overhead becomes much less
+and the resistance from the development teams decreases. The goal is for the secure SDLC to become as familiar
+a process as before, with the development teams taking ownership of the security activities within each phase.
+
+There are many OWASP tools and resources to help build security into the SDLC.
+
+* **Requirements**: this phase determines the functional, non-functional and security requirements for the application.
+ Requirements should be revisited periodically and checked for completeness and validity,
+ and it is worth considering various OWASP tools to help with this;
+ * the [Application Security Verification Standard (ASVS)][asvs] provides developers
+ with a list of requirements for secure development,
+ * the [Mobile Application Security project][masproject] provides a security standard for mobile applications
+ and [SecurityRAT][srat] helps identify an initial set of security requirements.
+
+* **Design**: it is important to design security into the application - it is never too late to do this
+ but the earlier the better and easier to do. OWASP provides two tools, [Pythonic Threat Modeling][pytm]
+ and [Threat Dragon][tdtm], for threat modeling along with security gamification using [Cornucopia][cornucopia].
+
+* **Implementation**: the OWASP [Top 10 Proactive Controls][proactive10] project states that they are
+ "the most important control and control categories that every architect and developer should absolutely,
+ 100% include in every project" and this is certainly good advice. Implementing these controls can provide
+ a high degree of confidence that the application or system will be reasonably secure.
+ OWASP provides two libraries that can be incorporated in web applications,
+ the [Enterprise Security API (ESAPI)][esapi-project] security control library
+ and [CSRFGuard][csrfguard] to mitigate the risk of [Cross-Site Request Forgery][cscsrf] (CSRF) attacks,
+ that help implement these proactive controls. In addition the OWASP [Cheat Sheet Series][csproject]
+ is a valuable source of information and advice on all aspects of applications security.
+
+* **Verification**: OWASP provides a relatively large number of projects that help with testing and verification.
+ This is the subject of a section in this Developer Guide, and the projects are listed at the end of this section.
+
+* **Training**: development teams continually need security training.
+ Although not part of the inner SDLC iterative loop training should still be factored into the project lifecycle.
+ OWASP provides many training environments and materials - see the list at the end of this section.
+
+* **Culture Building**: a good security culture within a business organization will help greatly in keeping
+ the applications and systems secure. There are many activities that all add up to create the
+ security culture, the OWASP [Security Culture][culture] project goes into more detail on these activities,
+ and a good Security Champion program within the business is foundational to a good security posture.
+ The OWASP [Security Champions Guide][champions] provides guidance and material to create security champions
+ within the development teams - ideally every team should have a security champion that has
+ a special interest in security and has received further training, enabling the team to build security in.
+
+* **Operations**: the OWASP [DevSecOps Guideline][devsecops] explains how to best implement a secure pipeline,
+ using best practices and automation tools to help 'shift-left' security issues.
+ Refer to the DevSecOps Guideline for more information on any of the topics within DevSecOps
+ and in particular sections on Operations.
+
+* **Supply chain**: attacks that leverage the supply chain can be devastating
+ and there have been several high profile of products being successfully exploited.
+ A Software Bill of Materials (SBOM) is the first step in avoiding these attacks and
+ it is well worth using the OWASP [CycloneDX][cyclone] full-stack Bill of Materials (BOM) standard
+ for [risk reduction in the supply chain][cschain].
+ In addition the OWASP [Dependency-Track][deptrack] project is a Continuous SBOM Analysis Platform
+ which can help prevent these supply chain exploits by providing control of the SBOM.
+
+* **Third party dependencies**: keeping track of what third party libraries are included in the application,
+ and what vulnerabilities they have, is easily automated. Many public repositories such as [github][github]
+ and [gitlab][gitlab] offer this service along with some commercial vendors.
+ OWASP provides the [Dependency-Check][depcheck] Software Composition Analysis (SCA) tool
+ to track external libraries.
+
+* **Application security testing**: there are various types of security testing that can be automated on pull-request,
+ merge or nightlies - or indeed manually but they are most powerful when automated. Commonly there is
+ Static Application Security Testing (SAST), which analyzes the code without running it,
+ and Dynamic Application Security Testing (DAST), which applies input to the application while running it in a sandbox
+ or other isolated environments.
+ Interactive Application Security Testing (IAST) is designed to be run manually as well as being automated,
+ and provides instant feedback on the tests as they are run.
+
+#### Further reading from OWASP
+
+* [Cheat Sheet Series][csproject]
+* [CI/CD Security Cheat Sheet][cscicd]
+* [Cornucopia][cornucopia]
+* [CycloneDX][cyclone] Bill of Materials (BOM) standard
+* [DevSecOps Guideline][devsecops]
+* [Security Champions Guide][champions]
+* [Security Culture project][culture]
+* [Top 10 Proactive Controls][proactive10]
+
+#### OWASP verification projects
+
+* [Application Security Verification Standard][asvs] (ASVS)
+* [Amass project][amass]
+* [Code Pulse][pulse]
+* [Defect Dojo][defectdojo]
+* [Mobile Application Security][masproject] (MAS)
+* [Nettacker][net]
+* [Offensive Web Testing Framework][owtf] (OWTF)
+* [Web Security Testing Guide][wstg] (WSTG)
+
+#### OWASP training projects
+
+* [API Security Project][apisec] (API Top 10)
+* [Juice Shop][juice]
+* [Mobile Top 10][mobile10]
+* [Security Shepherd][sec-shep]
+* [Snakes And Ladders][snakes]
+* [Top Ten Web Application security risks][top10]
+* [WebGoat][webgoat]
+
+#### OWASP resources
+
+* [CSRFGuard library][csrfguard]
+* [Dependency-Check Software Composition Analysis (SCA)][depcheck]
+* [Dependency-Track Continuous SBOM Analysis Platform][deptrack]
+* [Enterprise Security API][esapi-project] (ESAPI)
+* [Integration Standards project Application Security Wayfinder][intstand]
+* [Mobile Application Security][mas] (MAS)
+* [Pythonic Threat Modeling][pytm]
+* [Threat Dragon][tdtm]
+* [SecurityRAT][srat] (Requirement Automation Tool)
+
+----
+
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0402] or [edit on GitHub][edit0402].
+
+[amass]: https://owasp.org/www-project-amass/
+[apisec]: https://owasp.org/API-Security
+[asvs]: https://owasp.org/www-project-application-security-verification-standard/
+[champions]: https://owasp.org/www-project-security-champions-guidebook/
+[cscicd]: https://cheatsheetseries.owasp.org/cheatsheets/CI_CD_Security_Cheat_Sheet
+[cornucopia]: https://owasp.org/www-project-cornucopia/
+[cschain]: https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet
+[cscsrf]: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet
+[csproject]: https://owasp.org/www-project-cheat-sheets/
+[csrfguard]: https://owasp.org/www-project-csrfguard/
+[culture]: https://owasp.org/www-project-security-culture/
+[culturewhy]: https://owasp.org/www-project-security-culture/stable/2-Why_Add_Security_In_Development_Teams/
+[cyclone]: https://owasp.org/www-project-cyclonedx/
+[depcheck]: https://owasp.org/www-project-dependency-check/
+[deptrack]: https://dependencytrack.org/
+[devsecops]: https://owasp.org/www-project-devsecops-guideline/
+[defectdojo]: https://www.defectdojo.org/
+[edit0402]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/02-secure-development.md
+[esapi-project]: https://owasp.org/www-project-enterprise-security-api/
+[github]: https://github.com/
+[gitlab]: https://about.gitlab.com/
+[issue0402]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/02-secure-development
+[juice]: https://owasp.org/www-project-juice-shop/
+[mas]: https://mas.owasp.org/
+[masproject]: https://owasp.org/www-project-mobile-app-security/
+[mobile10]: https://owasp.org/www-project-mobile-top-10/
+[net]: https://owasp.org/www-project-nettacker/
+[owtf]: https://owasp.org/www-project-owtf/
+[proactive10]: https://owasp.org/www-project-proactive-controls/
+[pulse]: https://owasp.org/www-project-code-pulse/
+[pytm]: https://owasp.org/www-project-pytm/
+[samm]: https://owaspsamm.org/about/
+[sammd]: https://owaspsamm.org/model/design/
+[sammi]: https://owaspsamm.org/model/implementation/
+[sammv]: https://owaspsamm.org/model/verification/
+[sdlc]: https://owasp.org/www-project-integration-standards/writeups/owasp_in_sdlc/
+[sec-shep]: https://owasp.org/www-project-security-shepherd/
+[snakes]: https://owasp.org/www-project-snakes-and-ladders/
+[srat]: https://owasp.org/www-project-securityrat/
+[tdtm]: https://owasp.org/www-project-threat-dragon/
+[top10]: https://owasp.org/Top10/
+[intstand]: https://owasp.org/www-project-integration-standards/
+[webgoat]: https://owasp.org/www-project-webgoat/
+[wstg]: https://owasp.org/www-project-web-security-testing-guide/
diff --git a/docs/hi/02-foundations/03-security-principles.md b/docs/hi/02-foundations/03-security-principles.md
new file mode 100644
index 00000000..e32934da
--- /dev/null
+++ b/docs/hi/02-foundations/03-security-principles.md
@@ -0,0 +1,198 @@
+This section is a very brief introduction to some concepts used within the software security domain,
+as these may not be familiar to many application developers.
+The OWASP [Cheat Sheet Series][csproject] provides more in depth explanations for these security principles,
+see the further reading at the end of this section.
+
+#### Overview
+
+There are various concepts and terms used in the security domain that are fundamental
+to the understanding and discussion of application security.
+Security architects and security engineers will be familiar with these terms and development teams
+will also need this understanding to implement secure applications.
+
+#### Security by Design
+
+Security should not be an afterthought or add-on. When developing systems, you should begin with identifying relevant
+security requirements and treat them as an integral part of the overall process and system design. Begin with
+establishing and adopting relevant principles and policies as a foundation for your design, then build security
+into your development life cycle. Keep also in mind that the system you are building also will be needing maintenance
+and that system operators will need to securely manage and even shutdown and dispose of the system. Therefore, commit
+to secure operations by developing secure "operational management"[^1] principles and practices.
+
+#### Security by Default
+
+Secure by default means that the default configuration settings are the most secure settings possible. This is not
+necessarily the most user-friendly settings. Evaluate what the settings should be, based on both risk analysis and
+usability tests. As a result, the precise meaning is up to you to decide. Nevertheless, configure the system to only
+provide the least functionality and to specifically prohibit and/or restrict the use of all other functions, ports,
+protocols, and/or services. Also configure the defaults to be as restrictive as possible, according to best practices,
+without compromising the "Psychological acceptability" and "Usability and Manageability" of the system.
+
+#### No security guarantee
+
+One of the most important principles of software security is that no application or system is totally
+100% guaranteed to be secure from all attacks. This may seem an unusually pessimistic starting point
+but it is merely acknowledging the real world; given enough time and enough resources any system can be compromised.
+The goal of software security is not '100% secure' but to make it hard enough and the rewards small enough
+that malicious actors look elsewhere for systems to exploit.
+
+#### Defense in Depth
+
+Also known as layered defense, [defense in depth][did] is a security principle where defense against attack
+is provided by multiple security controls.
+The aim is that single points of complete compromise are eliminated or mitigated
+by the incorporation of a series or multiple layers of security safeguards and risk-mitigation countermeasures.
+
+If one layer of defense turns out to be inadequate then, if diverse defensive strategies are in place,
+another layer of defense may prevent a full breach and if that one is circumvented then
+the next layer may block the exploit.
+
+#### Fail Safe
+
+This is a security principle that aims to maintain confidentiality, integrity and availability
+when an error condition is detected.
+These error conditions may be a result of an attack, or may be due to design or implementation failures,
+in any case the system / applications should default to a secure state rather than an unsafe state.
+
+For example unless an entity is given explicit access to an object,
+it should be denied access to that object by default.
+This is often described as 'Fail Safe Defaults' or 'Secure by Default'.
+
+In the context of software security, the term 'fail secure' is commonly used interchangeably with fail safe,
+which comes from physical security terminology.
+Failing safe also helps software resiliency in that the system / application can rapidly recover
+upon design or implementation flaws.
+
+#### Least Privilege
+
+A security principle in which a person or process is given only the minimum level of access rights (privileges)
+that is necessary for that person or process to complete an assigned operation.
+This right must be given only for a minimum amount of time that is necessary to complete the operation.
+
+This helps to limits the damage when a system is compromised by minimizing the ability of an attacker
+to escalate privileges both laterally or vertically.
+In order to apply this [principle of least privilege][elp] proper granularity
+of privileges and permissions should be established.
+
+#### Compartmentalize
+
+The principle of least privilege works better if access rights are not an "all or nothing" access model.
+Instead, compartmentalize the access to information on a "need-to-know" basis in order to perform certain tasks.
+The compartmentalization principle helps in minimizing the impact of a security breach in case of a successful
+breach attempt but must be used in moderation in order to prevent the system from becoming unmanageable.
+Therefore, follow also the principle of "Economy of Mechanism".
+
+#### Separation of Duties
+
+Also known as [separation of privilege][sop], separation of duties is a security principle which requires that
+the successful completion of a single task
+is dependent upon two or more conditions that are insufficient, individually by themselves, for completing the task.
+
+There are many applications for this principle,
+for example limiting the damage an aggrieved or malicious insider can do, or by limiting privilege escalation.
+
+#### Economy of Mechanism
+
+Also known as 'keep it simple', if there are multiple implementations then the simplest
+and most easily understood implementation should be chosen.
+
+The likelihood of vulnerabilities increases with the complexity of the software architectural design and code,
+and increases further if it is hard to follow or review the code.
+The attack surface of the software is reduced by keeping the software design
+and implementation details simple and understandable.
+
+#### Complete Mediation
+
+A security principle that ensures that authority is not circumvented in subsequent requests of an object by a subject,
+by checking for authorization (rights and privileges) upon every request for the object.
+
+In other words, the access requests by a subject for an object are completely mediated every time,
+so that all accesses to objects must be checked to ensure that they are allowed.
+
+#### Open Design
+
+The open design security principle states that the implementation details of the design
+should be independent of the design itself,
+allowing the design to remain open while the implementation can be kept secret.
+This is in contrast to security by obscurity where the security of the software
+is dependent upon the obscuring of the design itself.
+
+When software is architected using the open design concept,
+the review of the design itself will not result in the compromise of the safeguards in the software.
+
+#### Least Common Mechanism
+
+The security principle of least common mechanisms disallows the sharing of mechanisms that are common
+to more than one user or process if the users or processes are at different levels of privilege.
+This is important when defending against privilege escalation.
+
+#### Psychological acceptability
+
+A security principle that aims at maximizing the usage and adoption of the security functionality in the software
+by ensuring that the security functionality is easy to use and at the same time transparent to the user.
+Ease of use and transparency are essential requirements for this security principle to be effective.
+
+Security controls should not make the resource significantly more difficult to access
+than if the security control were not present.
+If a security control provides too much friction for the users then they may look for ways
+to defeat the control and “prop the doors open”.
+
+#### Usability and Manageability
+
+Is a principle related to psychological acceptability, but goes beyond just the perceived psychological
+acceptability to also include the design, implementation and operation of security controls.
+The configuration, administration and integration of security components should not be overly complex or
+obscure. Therefore, always use open standards for portability and interoperability, use common language
+in developing security requirements, design security to allow for regular adoption of new technology,
+ensure a secure and logical upgrade process exist, automate security management activities and strive for
+operational ease of use.
+
+#### Secure the Weakest Link
+
+This security principle states that the resiliency of your software against hacker attempts will depend heavily
+on the protection of its weakest components, be it the code, service or an interface. Therefore, identifying the
+weakest component and addressing the most serious risk first, until an acceptable level of risk is attained, is
+considered good security practice.
+
+#### Leveraging Existing Components
+
+This is a security principle that focuses on ensuring that the attack surface is not increased
+and no new vulnerabilities are introduced by promoting the reuse of existing
+software components, code and functionality.
+
+Existing components are more likely to be tried and tested, and hence more secure,
+and also should have security patches available.
+In addition components developed within the open source community have the further benefit of 'many eyes'
+and are therefore likely to be even more secure.
+
+#### References
+
+* OWASP Cheat Sheet series
+ * [Authentication Cheat Sheet][csauthn]
+ * [Authorization Cheat Sheet][csauthz]
+ * [Secure Product Design Cheat Sheet][spdcs]
+* OWASP Top 10 Proactive Controls
+ * [C5: Secure by Default Configurations](https://top10proactive.owasp.org/the-top-10/c5-secure-by-default/)
+* Other
+ * [Compartmentalization (information security)](https://en.wikipedia.org/wiki/Compartmentalization_(information_security)),
+(Wikipedia)
+ * [Least Functionality](https://csf.tools/reference/nist-sp-800-53/r5/cm/cm-7/), (NIST)
+ * [Security by Design](https://pubs.opengroup.org/security/o-esa/#_Toc291061712), (Open Group)
+ * [Usability and Manageability](https://pubs.opengroup.org/security/o-esa/#_Toc291061714), (Open Group)
+
+----
+
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0403] or [edit on GitHub][edit0403].
+
+[^1]: [Operational Management](https://owaspsamm.org/model/operations/operational-management/), (SAMM)
+
+[csauthn]: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet
+[csauthz]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet
+[csproject]: https://owasp.org/www-project-cheat-sheets/
+[did]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html#2-the-principle-of-defense-in-depth
+[edit0403]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/03-security-principles.md
+[elp]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet.html#enforce-least-privileges
+[issue0403]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/03-security-principles
+[sop]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html#1-the-principle-of-least-privilege-and-separation-of-duties
+[spdcs]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet
diff --git a/docs/hi/02-foundations/04-crypto-principles.md b/docs/hi/02-foundations/04-crypto-principles.md
new file mode 100644
index 00000000..3df8c4ed
--- /dev/null
+++ b/docs/hi/02-foundations/04-crypto-principles.md
@@ -0,0 +1,252 @@
+Cryptography is fundamental to the Confidentiality and Integrity of applications and systems.
+The OWASP [Cheat Sheet][csproject] series describes the use of cryptography and some of these are
+listed in the further reading at the end of this section.
+
+#### Overview
+
+This section provides a brief introduction to cryptography (often simply referred to as "crypto") and the terms used.
+Cryptography is a large subject and can get very mathematical,
+but fortunately for the majority of development teams a general understanding of the concepts is sufficient.
+This general understanding, with the guidance of security architects, should allow implementation
+of cryptography by the development team for the application or system.
+
+#### Uses of cryptography
+
+Although cryptography was initially restricted primarily to the military and the realm of academia,
+cryptography has become ubiquitous in securing software applications.
+Common every day uses of cryptography include mobile phones, passwords, SSL VPNs, smart cards, and DVDs.
+Cryptography has permeated through everyday life, and is heavily used by many web applications.
+
+Cryptography is one of the more advanced topics of information security,
+and one whose understanding requires the most schooling and experience.
+It is difficult to get right because there are many approaches to encryption,
+each with advantages and disadvantages that need to be thoroughly understood by solution architects.
+
+The proper and accurate implementation of cryptography is extremely critical to its efficacy.
+A small mistake in configuration or coding will result in removing most of the protection
+and rending the crypto implementation useless.
+
+A good understanding of crypto is required to be able to discern between solid products and snake oil.
+The inherent complexity of crypto makes it easy to fall for fantastic claims from vendors about their product.
+Typically, these are "a breakthrough in cryptography" or "unbreakable" or provide "military grade" security.
+If a vendor says "trust us, we have had experts look at this," chances are they weren't experts!
+
+#### Confidentiality
+
+For the purposes of this section, confidentiality is defined as "no unauthorized disclosure of information".
+Cryptography addresses this via encryption of either the data at rest or data in transit by
+protecting the information from all who do not hold the decryption key.
+Cryptographic hashes (secure, one way hashes) to prevent passwords from disclosure.
+
+#### Authentication
+
+[Authentication][csauthn] is the process of verifying a claim that a subject is who it says it is
+via some provided corroborating evidence.
+Cryptography is central to authentication:
+
+1. to protect the provided corroborating evidence (for example hashing of passwords for subsequent storage)
+2. in authentication protocols often use cryptography to either directly authenticate entities
+ or to exchange credentials in a secure manner
+3. to verify the identity one or both parties in exchanging messages,
+ for example identity verification within [Transport Layer Security][tls] (TLS)
+
+OpenID Connect is widely used as an identity layer on top of the OAuth 2.0 protocol,
+see the [OAuth 2.0 Protocol][csoauth] Cheat Sheet.
+
+#### Integrity
+
+Integrity ensures that even authorized users have performed no accidental or malicious alternation of information.
+Cryptography can be used to prevent tampering by means of Message Authentication Codes (MACs) or digital signatures.
+
+The term 'message authenticity' refers to ensuring the integrity of information,
+often using symmetric encryption and shared keys,
+but does not authenticate the sending party.
+
+The term 'authenticated encryption' also ensures the integrity of information,
+and, if asymmetric encryption is used, can authenticate the sender.
+
+#### Non-repudiation
+
+Non-repudiation of sender ensures that someone sending a message should not be able to deny later that they have sent it.
+Non-repudiation of receiver means that the receiver of a message should not be able to deny that they have received it.
+Cryptography can be used to provide non-repudiation by providing unforgeable messages or replies to messages.
+
+Non-repudiation is useful for financial, e-commerce, and contractual exchanges.
+It can be accomplished by having the sender or recipient digitally sign some unique transactional record.
+
+#### Attestation
+
+Attestation is the act of "bearing witness" or certifying something for a particular use or purpose.
+Attestation is generally discussed in the context of a Trusted Platform Module (TPM),
+Digital Rights Management (DRM), and UEFI Secure Boot.
+
+For example, Digital Rights Management is interested in attesting that your device
+or system hasn't been compromised with some back-door to allow someone to illegally copy DRM-protected content.
+
+Cryptography can be used to provide a chain of evidence that everything is as it is expected to be,
+to prove to a challenger that everything is in accordance with the challenger's expectations.
+For example, remote attestation can be used to prove to a challenger that
+you are indeed running the software that you claim that you are running.
+Most often attestation is done by providing a chain of digital signatures starting with
+a trusted (digitally signed) boot loader.
+
+#### Cryptographic hashes
+
+Cryptographic hashes, also known as message digests, are functions that map arbitrary length bit strings
+to some fixed length bit string known as the 'hash value' or 'digest value'.
+These hash functions are many-to-one mappings that are compression functions.
+
+Cryptographic hash functions are used to provide data integrity (i.e., to detect intentional data tampering),
+to store passwords or pass phrases, and to provide digital signatures in a more efficient manner
+than using asymmetric ciphers.
+Cryptographic hash functions are also used to extend a relatively small bit of entropy
+so that secure random number generators can be constructed.
+
+When used to provide data integrity, cryptographic functions provide two types of integrity:
+keyed hashes, often called 'message authentication codes', and unkeyed hashes called 'message integrity codes'.
+
+#### Ciphers
+
+A cipher is an algorithm that performs encryption or decryption.
+Modern ciphers can be categorized in a couple of different ways.
+The most common distinctions between them are:
+
+* Whether they work on fixed size number of bits (block ciphers) or on a continuous stream of bits (stream ciphers)
+* Whether the same key is used for both encryption and decryption (symmetric ciphers)
+ or separate keys for encryption and decryption (asymmetric ciphers)
+
+#### Symmetric Ciphers
+
+Symmetric ciphers encrypt and decrypt using the same key.
+This implies that if one party encrypts data that a second party must decrypt,
+those two parties must share a common key.
+
+Symmetric ciphers come in two main types:
+
+1. Block ciphers, which operate on a block of characters (typically 8 or 16 octets) at a time.
+ An example of a block cipher is AES
+2. Stream ciphers, which operate on a single bit (or occasionally a single byte) at a time.
+ Examples of a stream ciphers are RC4 (aka, ARC4) and Salsa20
+
+Note that all block ciphers can also operate in 'streaming mode' by selecting the appropriate cipher mode.
+
+#### Cipher Modes
+
+Block ciphers can function in different modes of operations known as "cipher modes".
+This cipher mode algorithmically describes how a cipher operates to repeatedly
+apply its encryption or decryption mechanism to a given cipher block.
+Cipher modes are important because they have an enormous impact on both the confidentiality
+and the message authenticity of the resulting ciphertext messages.
+
+Almost all cryptographic libraries support the four original DES cipher modes of ECB, CBC (Cipher Block Chaining)
+OFB (Output Feedback), and CFB (Cipher Feedback). Many also support CTR (Counter) mode.
+
+#### Initialization vector
+
+A cryptographic initialization vector (IV) is a fixed size input to a block cipher's encryption / decryption primitive.
+The IV is recommended (and in many cases, required) to be random or at least pseudo-random.
+
+#### Padding
+
+Except when they are operating in a streaming mode, block ciphers generally operate on fixed size blocks.
+These block ciphers must also operate on messages of any size,
+not just those that are an integral multiple of the cipher's block size,
+and so the message can be padded to fit into the next fixed-size block.
+
+#### Asymmetric ciphers
+
+Asymmetric ciphers encrypt and decrypt with two different keys.
+One key generally is designated as the private key and the other is designated as the public key.
+Generally the public key is widely shared and the private key is kept secure.
+
+Asymmetric ciphers are several orders of magnitude slower than symmetric ciphers.
+For this reason they are used frequently in hybrid cryptosystems, which combine asymmetric and symmetric ciphers.
+In such hybrid cryptosystems, a random symmetric session key is generated
+which is only used for the duration of the encrypted communication.
+This random session key is then encrypted using an asymmetric cipher and the recipient's private key.
+The plaintext data itself is encrypted with the session key.
+Then the entire bundle (encrypted session key and encrypted message) is all sent together.
+Both [TLS][tls] and S/MIME are common cryptosystems using hybrid cryptography.
+
+#### Digital signature
+
+Digital signatures are a cryptographically unique data string that is used to ensure data integrity
+and prove the authenticity of some digital message, and that associates some input message with an originating entity.
+A digital signature generation algorithm is a cryptographically strong algorithm that is used
+to generate a digital signature.
+
+#### Key agreement protocol
+
+Key agreement protocols are protocols whereby N parties (usually two) can agree on a common key
+without actually exchanging the key.
+When designed and implemented properly, key agreement protocols prevent adversaries
+from learning the key or forcing their own key choice on the participating parties.
+
+#### Application level encryption
+
+Application level encryption refers to encryption that is considered part of the application itself;
+it implies nothing about where in the application code the encryption is actually done.
+
+#### Key derivation
+
+A key derivation function (KDF) is a deterministic algorithm to derive a key of a given size from some secret value.
+If two parties use the same shared secret value and the same KDF, they should always derive exactly the same key.
+
+#### Key wrapping
+
+Key wrapping is a construction used with symmetric ciphers to protect cryptographic key material
+by encrypting it in a special manner.
+Key wrap algorithms are intended to protect keys while held in untrusted storage
+or while transmitting keys over insecure communications networks.
+
+#### Key exchange algorithms
+
+Key exchange algorithms (also referred to as key establishment algorithms) are protocols
+that are used to exchange secret cryptographic keys
+between a sender and receiver in a manner that meets certain security constraints.
+Key exchange algorithms attempt to address the problem of securely sharing a common secret key with two parties
+over an insecure communication channel in a manner that no other party can gain access to a copy of the secret key.
+
+The most familiar key exchange algorithm is Diffie-Hellman Key Exchange.
+There are also password authenticated key exchange algorithms.
+RSA key exchange using PKI or webs-of-trust or trusted key servers are also commonly used.
+
+#### Key transport protocols
+
+Key Transport protocols are where one party generates the key and sends it securely to the recipient(s).
+
+#### Key agreement protocols
+
+Key Agreement protocols are protocols whereby N parties (usually two) can agree on a common key
+with all parties contributing to the key value.
+These protocols prevent adversaries from learning the key or forcing their own key choice on the participating parties.
+
+#### References
+
+* OWASP Cheat Sheet series
+ * [Authentication][csauthn]
+ * [Authorization][csauthz]
+ * [Cryptographic Storage][cscs]
+ * [Key Management][kmcs]
+ * [OAuth 2.0 Protocol][csoauth]
+ * [SAML Security][sscs]
+ * [Secure Product Design][spdcs]
+ * [User Privacy Protection][uppcs]
+
+----
+
+The OWASP Developer Guide is a community effort; if there is something that needs changing
+then [submit an issue][issue0404] or [edit on GitHub][edit0404].
+
+[csauthn]: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet
+[csauthz]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet
+[csoauth]: https://cheatsheetseries.owasp.org/cheatsheets/OAuth2_Cheat_Sheet
+[csproject]: https://owasp.org/www-project-cheat-sheets/
+[cscs]: https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet
+[edit0404]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/04-crypto-principles.md
+[issue0404]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/04-crypto-principles
+[kmcs]: https://cheatsheetseries.owasp.org/cheatsheets/Key_Management_Cheat_Sheet
+[sscs]: https://cheatsheetseries.owasp.org/cheatsheets/SAML_Security_Cheat_Sheet
+[spdcs]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet
+[tls]: https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Security_Cheat_Sheet
+[uppcs]: https://cheatsheetseries.owasp.org/cheatsheets/User_Privacy_Protection_Cheat_Sheet
diff --git a/docs/hi/02-foundations/05-top-ten.md b/docs/hi/02-foundations/05-top-ten.md
new file mode 100644
index 00000000..775a46ac
--- /dev/null
+++ b/docs/hi/02-foundations/05-top-ten.md
@@ -0,0 +1,208 @@
+{ align=right width=180 }
+
+The OWASP Top Ten is a very well known list of web application security risks,
+and is included by the OWASP Software Assurance Maturity Model [(SAMM)][samm]
+in the Education & Guidance practice within the Governance business function.
+
+#### Overview
+
+The OWASP [Top 10 Web Application Security Risks][top10project] project is probably the most well known security concept
+within the security community, achieving wide spread acceptance and fame soon after its release in 2003.
+Often referred to as just the 'OWASP Top Ten', it is a list that identifies the most important threats
+to web applications and seeks to rank them in importance and severity.
+
+The list has changed over time, with some threat types becoming more of a problem to web applications
+and other threats becoming less of a risk as technologies change.
+The [latest version][top10] was issued in 2021 and each category is summarized below.
+
+Note that there are various 'OWASP Top Ten' projects, for example the 'OWASP Top 10 for Large Language Model Applications',
+so to avoid confusion the context should be noted when referring to these lists.
+
+#### A01:2021 Broken Access Control
+
+Access control involves the use of protection mechanisms that can be categorized as:
+
+* Authentication (proving the identity of an actor)
+* Authorization (ensuring that a given actor can access a resource)
+* Accountability (tracking of activities that were performed)
+
+Broken Access Control is where the product does not restrict, or incorrectly restricts, access to a resource
+from an unauthorized or malicious actor.
+When a security control fails or is not applied then attackers can compromise the security of the product
+by gaining privileges, reading sensitive information, executing commands, evading detection, etc.
+
+Broken Access Control can take many forms, such as path traversal or elevation of privilege,
+so refer to both the [Common Weakness Enumeration CWE-284][cwe284] and [A01 Broken Access Control][a01]
+and also follow the various [OWASP Cheat Sheets][a01cs] related to access controls.
+
+#### A02:2021 Cryptographic Failures
+
+Referring to [OWASP Top 10 A02:2021][a02], sensitive data should be protected when at rest and in transit.
+Cryptographic failures occur when the cryptographic security control is either broken or not applied,
+and the data is exposed to unauthorized actors - malicious or not.
+
+It is important to protect data both at rest, when it is stored in an area of memory,
+and also when it is in transit such as being transmitted across a communication channel or being transformed.
+A good example of protecting data transformation is given by [A02 Cryptographic Failures][a02]
+where sensitive data is properly encrypted in a database, but the export function automatically
+decrypts the data leading to sensitive data exposure.
+
+Crypto failures can take many forms and may be subtle - a security control that looks secure may be easily broken.
+Follow the crypto [OWASP Cheat Sheets][a02cs] to get the basic crypto controls in place
+and consider putting a crypto audit in place.
+
+#### A03:2021 Injection
+
+A lack of input validation and sanitization can lead to injection exploits,
+and this risk has been a constant feature of the OWASP Top Ten since the first version was published in 2003.
+These vulnerabilities occur when hostile data is directly used within the application
+and can result in malicious data being used to subvert the application; see [A03 Injection][a03] for further explanations.
+
+The security control is straight forward: all input from untrusted sources should be sanitized and validated.
+See the [Injection Cheat Sheets][a03cs] for the various types of input and their controls.
+
+#### A04:2021 Insecure Design
+
+It is important that security is built into applications from the beginning and not applied as an afterthought.
+The [A04 Insecure Design][a04] category recognizes this and advises that
+the use of threat modeling, secure design patterns, and reference architectures
+should be incorporated within the application design and architecture activities.
+
+In practice this involves establishing a secure development lifecycle that encourages
+the identification of security requirements, the periodic use of threat modeling
+and consideration of existing secure libraries and frameworks.
+This category was introduced in the 2021 version and for now the supporting cheat sheets only cover [threat modeling][cstm];
+as this category becomes more established it is expected that more supporting information will become available.
+
+#### A05:2021 Security Misconfiguration
+
+Systems and large applications can be configurable, and this configuration is often used to secure the system/application.
+If this configuration is misapplied then the application may no longer be secure,
+and instead be vulnerable to well-known exploits. The [A05 Security Misconfiguration][a05] page contains
+a common example of misconfiguration where default accounts and their passwords are still enabled and unchanged.
+These passwords and accounts are usually well-known and provide an easy way for malicious actors to compromise applications.
+
+Both the [OWASP Top 10 A05:2021][a05] and the linked [OWASP Cheat Sheets][a05cs] provide strategies to establish
+a concerted, repeatable application security configuration process to minimize misconfiguration.
+
+#### A06:2021 Vulnerable and Outdated Components
+
+Perhaps one of the easiest and most effective security activities
+is keeping all the third party software dependencies up to date.
+If a vulnerable dependency is identified by a malicious actor during the reconnaissance phase of an attack
+then there are databases available, such as [Exploit Database][exploit], that will provide a description of any exploit.
+These databases can also provide ready made scripts and techniques for attacking a given vulnerability,
+making it easy for vulnerable third party software dependencies to be exploited .
+
+Risk [A06 Vulnerable and Outdated Components][a06] underlines the importance of this activity,
+and recommends that fixes and upgrades to the underlying platform, frameworks, and dependencies
+are based on a risk assessment and done in a 'timely fashion'.
+Several tools can used to analyze dependencies and flag vulnerabilities, refer to the [Cheat Sheets][a06cs] for these.
+
+#### A07:2021 Identification and Authentication Failures
+
+Confirmation of the user's identity, authentication, and session management is critical
+to protect the system or application against authentication related attacks.
+Referring to risk [A07 Identification and Authentication Failures][a07], authorization can fail in several ways
+that often involve other OWASP Top Ten risks:
+
+* broken access controls (A01)
+* cryptographic failure (A02)
+* default passwords (A05)
+* out-dated libraries (A06)
+
+Refer to the [Cheat Sheets][a07cs] for the several good practices that are needed for secure authorization.
+There are also third party suppliers of Identity and Access Management (IAM) that will provide this as a service,
+consider the cost / benefit of using these (often commercial) suppliers.
+
+#### A08:2021 Software and Data Integrity Failures
+
+Software and data integrity failures relate to code and infrastructure that does not protect against integrity violations.
+This is a wide ranging category that describes [supply chain attacks][cschain],
+compromised auto-update and use of untrusted components for example.
+[A07 Software and Data Integrity Failures][a08] was a new category introduced in 2021
+so there is little information available from the [Cheat Sheets][a08cs],
+but this is sure to change for such an important threat.
+
+#### A09:2021 Security Logging and Monitoring Failures
+
+Logging and monitoring helps detect, escalate, and respond to active breaches; without it breaches will not be detected.
+[A09 Security Logging and Monitoring Failures][a09] lists various logging and monitoring techniques that should be familiar,
+but also others that may not be so common;
+for example monitoring the DevOps supply chain may be just as important as monitoring the application or system.
+The [Cheat Sheets][a09cs] provide guidance on sufficient logging and also provide for a common logging vocabulary.
+The aim of this common vocabulary is to provide logging that uses a common set of terms, formats and key words;
+and this allows for easier monitoring, analysis and alerting.
+
+#### A10:2021 Server-Side Request Forgery
+
+Referring to [A10 Server-Side Request Forgery (SSRF)][a10], these vulnerabilities can occur
+whenever a web application is fetching a remote resource without validating the user-supplied URL.
+These exploits allow an attacker to coerce the application to send a crafted request to an unexpected destination,
+even when protected by a firewall, VPN, or another type of network access control list.
+Fetching a URL has become a common scenario for modern web applications and as a result the incidence of SSRF is increasing,
+especially for [cloud services][cscloud] and more complex application architectures.
+
+This is a new category introduced in 2021 with a single (for now) [Cheat Sheet][a10cs] that deals with SSRF.
+
+#### OWASP top tens
+
+There are various 'Top 10' projects created by OWASP that, depending on the context,
+may also be referred to as 'OWASP Top 10'. Here is a list of the stable 'OWASP Top 10' projects:
+
+* [API Security Top 10][apisec]
+* [Data Security Top 10][data10]
+* [Low-Code/No-Code Top 10][lcnc10]
+* [Mobile Top 10][mobile10]
+* [Serverless Top 10][serverless10]
+* [Top 10 CI/CD Security Risks][cicd10]
+* [Top 10 for Large Language Model Applications][llm10]
+* [Top 10 Privacy Risks][privacy10]
+* [Top 10 Proactive Controls][proactive10]
+* [Top 10 Web Application Security Risks][top10]
+
+Other OWASP Top 10s are 'incubator' projects, which are work in progress, so this list will change over time.
+
+----
+
+The OWASP Developer Guide is a community effort; if you see something that needs changing
+then [submit an issue][issue0405] or [edit on GitHub][edit0405].
+
+[a01]: https://owasp.org/Top10/A01_2021-Broken_Access_Control/
+[a01cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a012021-broken-access-control
+[a02]: https://owasp.org/Top10/A02_2021-Cryptographic_Failures/
+[a02cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a022021-cryptographic-failures
+[a03]: https://owasp.org/Top10/A03_2021-Injection/
+[a03cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a032021-injection
+[a04]: https://owasp.org/Top10/A04_2021-Insecure_Design/
+[a05]: https://owasp.org/Top10/A05_2021-Security_Misconfiguration/
+[a05cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a052021-security-misconfiguration
+[a06]: https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/
+[a06cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a062021-vulnerable-and-outdated-components
+[a07]: https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/
+[a07cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a072021-identification-and-authentication-failures
+[a08]: https://owasp.org/Top10/A08_2021-Software_and_Data_Integrity_Failures/
+[a08cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a082021-software-and-data-integrity-failures
+[a09]: https://owasp.org/Top10/A09_2021-Security_Logging_and_Monitoring_Failures/
+[a09cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a092021-security-logging-and-monitoring-failures
+[a10]: https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/
+[a10cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a102021-server-side-request-forgery-ssrf
+[apisec]: https://owasp.org/API-Security
+[cicd10]: https://owasp.org/www-project-top-10-ci-cd-security-risks/
+[cschain]: https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet
+[cscloud]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Cloud_Architecture_Cheat_Sheet
+[cstm]: https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet
+[cwe284]: https://cwe.mitre.org/data/definitions/284.html
+[data10]: https://owasp.org/www-project-data-security-top-10/
+[edit0405]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/05-top-ten.md
+[exploit]: https://www.exploit-db.com/
+[issue0405]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/05-top-ten
+[lcnc10]: https://owasp.org/www-project-top-10-low-code-no-code-security-risks/
+[mobile10]: https://owasp.org/www-project-mobile-top-10/
+[privacy10]: https://owasp.org/www-project-top-10-privacy-risks/
+[proactive10]: https://owasp.org/www-project-proactive-controls/
+[samm]: https://owaspsamm.org/about/
+[serverless10]: https://owasp.org/www-project-serverless-top-10/
+[top10project]: https://owasp.org/www-project-top-ten/
+[top10]: https://owasp.org/Top10/
+[llm10]: https://owasp.org/www-project-top-10-for-large-language-model-applications/
diff --git a/docs/hi/02-foundations/index.md b/docs/hi/02-foundations/index.md
new file mode 100644
index 00000000..221808f6
--- /dev/null
+++ b/docs/hi/02-foundations/index.md
@@ -0,0 +1,26 @@
+{ align=right width=180 }
+
+There are various foundational concepts and terminology that are commonly used in software security.
+Although many of these concepts are complex to implement and are based on heavy-duty theory,
+the principles are often fairly straight forward and are accessible for every software engineer.
+
+A reasonable grasp of these foundational concepts allows development teams to understand and implement
+software security for the application or system under development.
+This Developer Guide can only give a brief overview of these concepts,
+for in-depth knowledge refer to the many texts on security such as the [The Cyber Security Body Of Knowledge][cbok].
+
+If changes are being introduced to the security culture of an organization
+then make sure there is management buy-in and clear goals to achieve.
+Without these then attempts to improve the security posture will probably fail - see the
+[Security Culture][culturegoal] project for the importance of getting management,
+security and development teams working together.
+
+----
+
+The OWASP Developer Guide is a community effort; if you see something that needs changing
+then [submit an issue][issue0400] or [edit on GitHub][edit0400].
+
+[cbok]: https://www.cybok.org/
+[culturegoal]: https://owasp.org/www-project-security-culture/stable/3-Goal_Setting_and_Security_Team_Collaboration/
+[edit0400]: https://github.com/OWASP/DevGuide/blob/main/docs/en/02-foundations/index.md
+[issue0400]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/index
diff --git a/docs/hi/index.md b/docs/hi/index.md
new file mode 100644
index 00000000..7ce9d51a
--- /dev/null
+++ b/docs/hi/index.md
@@ -0,0 +1,72 @@
+{ align=right width="180" }
+
+OWASP Development Guide में आपका स्वागत है।
+
+Open Worldwide Application Security Project ([OWASP][about]) एक गैर-लाभकारी संस्था
+(nonprofit foundation) है जो software को सुरक्षा की दिष्टि से बेहतर बनाने के लिए काम करती है।
+यह एक open community है जो संगठनों (organizations) को भरोसेमंद applications की कल्पना, विकास,
+अधिग्रहण, संचालन और रखरखाव करने के लिए सक्षम बनाता है।
+
+OWASP Top 10 के साथ-साथ, डेवलपर गाइड (Developer Guide) उन मूल संसाधनों में से एक है
+जो 2001 में OWASP फाउंडेशन के गठन के तुरंत बाद प्रकाशित हुए थे।
+डेवलपर गाइड का संस्करण 1.0 2002 में हुआ था
+और तब से विभिन्न [releases][versions] हुए, जो 2005 में संस्करण 2.0 पर पहुंचे।
+इसके बाद गाइड को व्यापक रूप से संशोधित किया गया है ताकि ये समय अनुसार प्रासंगिक रहे।
+इसका नवीनतम संस्करण 4.x है, क्योंकि संस्करण 3.0 कभी जारी नहीं हुआ।
+
+इस गाइड का उद्देश्य सुरक्षा की अवधारणाओं/बिन्दुओं का परिचय देना तथा application/ system developers के लिए
+एक उपयोगी संसाधन प्रदान करना है।
+आम तौर पर यह OWASP Software Assurance Maturity Model ([SAMM][samm]) की तर्ज पर सुरक्षा के तरीकों एवं
+OWASP [Application Security Wayfinder][intstand] project में दिए projects का वर्णन करता है।
+
+यह गाइड विशिष्ट सुरक्षा विषयों के उत्कृष्ट स्रोतों की नकल करने का प्रयास नहीं करती है;
+यह शायद ही कभी किसी विषय पर विस्तार मे जाए, इसके बजाय यह इन सुरक्षा विषयों पर अधिक गहरी जानकारी के लिए
+links प्रदान करता है।
+इसके बजाय Developer गाइड की सामग्री का लक्ष्य सुलभ होना, प्रायौगिक सुरक्षा विषयों (practical security concepts)
+का परिचय देना एवं developers को विभिन्न OWASP tools तथा documents के प्रयोग से अवगत करना है।
+
+इस गाइड में दिए गए सभी OWASP projects तथा tools, free मे download एवं उपयोग के लिए उपलब्ध हैं।
+यह सभी OWASP के projects, open source है ; अगर आप application security मे सुधार के इच्छुक हैं तो
+आप अवश्य ही हिस्सा ले।
+
+#### लक्षित पाठक
+
+Devlopers को इस OWASP डेवलपर गाइड का प्रयोग ओर अधिक सुरक्षित applications बनाने के लिए करना चाहिए।
+यह गाइड सुरक्षा समुदाय (security community) द्वारा लिखी गई है ताकि software developers अच्छी, मजबूत (solid)
+एवं सुरक्षित applications बना सकें।
+इस गाइड में योगदान देने वाले अधिकांश लोग software developer तथा सुरक्षा इंजीनियर है, जिससे की
+इसे developer-centric रखने मे मदद मिलती है।
+
+अगर आप जल्दी में हैं और किसी विशिष्ट विषय पर जानकारी चाहते हैं तो
+[OpenCRE chat][opencrechat] LLM को तत्काल उत्तरों के लिए देखे।
+
+#### Developer गाइड क्या है?
+
+इस गाइड को आप OWASP द्वारा devlopers के लिए बनाई, tools एवं documents की पारखी सूची
+(cross-reference source) समझ सकते हैं।
+
+_या_ आप इसका उद्देश्य प्रश्नों के उत्तर देने समझ सकते हैं:
+"मैं एक devlopers हूँ और मुझे कई security tools एवं गतिविधियों के लिए एक पारखी हुई
+गाइड की आवश्यकता है, जिससे मुझे पता है कि मुझे आगे क्या करना चहिए।"
+
+_या_ इसे लेखों के संग्रह के रूप में समझे जो devlopers को application security के व्यापक प्रभाव क्षेत्र से
+परिचित कराता हैं।
+
+_या_ इस गाइड को आप OWASP [Integration Standards][intstand] project के साहियोगी दस्तावेज़ के रूप में समझ सकते हैं:
+जहाँ Application Security Wayfinder, OWASP के भीतर कई tools, परियोजनाओं एवं दस्तावेज़ों को मैप करता है
+वही डेवलपर गाइड इसके लिए कुछ शाब्दिक संदर्भ प्रदान करता है।
+
+[][intstand]
+
+----
+
+OWASP Developer गाइड एक सामुदायिक प्रयास (community effort) है; यदि आपको कुछ बदलने की आवश्यकता लगे तो यहा
+[issue submit करे][issue03] या [GitHub पर edit करे][edit03].
+
+[about]: https://owasp.org/about/
+[edit03]: https://github.com/OWASP/DevGuide/blob/main/docs/index.md
+[intstand]: https://owasp.org/www-project-integration-standards/
+[issue03]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2001-introduction
+[opencrechat]: https://www.opencre.org/chatbot
+[samm]: https://owaspsamm.org/about/
+[versions]: https://github.com/OWASP/DevGuide/wiki#old-versions
diff --git a/docs/pt-br/02-foundations/01-security-fundamentals.md b/docs/pt-br/02-foundations/01-security-fundamentals.md
new file mode 100644
index 00000000..f21d75f5
--- /dev/null
+++ b/docs/pt-br/02-foundations/01-security-fundamentals.md
@@ -0,0 +1,186 @@
+Os princípios fundamentais da segurança de aplicativos baseiam-se nos conceitos
+de segurança mencionados neste guia do desenvolvedor.
+Esta seção tem como objetivo fornecer uma introdução aos princípios fundamentais
+com os quais qualquer equipe de desenvolvimento deve estar familiarizada.
+
+#### Modelo de Maturidade de Software Assurance
+
+{: .image-right-small }
+
+O Modelo de Maturidade de Software Assurance ([SAMM][samm]) fornece contexto para o escopo da segurança de software
+e os fundamentos das boas práticas de segurança:
+
+* [Governança][sammg]
+* [Design][sammd]
+* [Implementação][sammi]
+* [Verificação][sammv]
+* [Operações][sammo]
+
+O modelo SAMM descreve esses fundamentos de segurança de software como Funções de Negócio,
+que são subdivididos em Práticas de Negócio.
+O Modelo de Maturidade de Software Assurance OWASP ([SAMM][samm]) é usado ao longo deste Guia do Desenvolvedor;
+a maioria das seções do Guia do desenvolvedor faz referência a pelo menos uma das funções ou práticas de negócios do SAMM.
+
+#### Tríade CID
+
+Segurança é simplesmente controlar quem pode interagir com sua informação,
+o que eles podem fazer com ela e quando podem interagir com ela.
+Estas características de segurança podem ser descritas utilizando a tríade CID.
+
+CID significa Confidencialidade, Integridade e Disponibilidade,
+e geralmente é retratada como um triângulo que representa os fortes laços entre seus três princípios.
+Esta tríade é considerada os pilares de segurança de aplicações,
+frequentemente Confidencialidade, Integridade ou Disponibilidade são usadas como propriedades
+de dados ou processos dentro de um determinado sistema.
+A tríade CID pode ser ampliada com a tríade AAA: Autorização, Autenticação e Auditoria.
+
+#### Confidencialidade
+
+Confidencialidade é a proteção dos dados contra a divulgação não autorizada;
+trata-se de garantir que apenas aqueles com a autorização correta possam acessar os dados
+e se aplica tanto aos dados em repouso quanto aos dados em trânsito.
+Confidencialidade também está relacionada ao conceito mais amplo de privacidade de dados.
+
+#### Integridade
+
+Integridade refere-se à proteção os dados contra modificações não autorizadas ou garantir a confiabilidade dos dados.
+O conceito contém a noção de integridade de dados (os dados não foram alterados acidental ou deliberadamente)
+e a noção de integridade da fonte (os dados vieram ou foram alterados por uma fonte legítima).
+
+#### Disponibilidade
+
+Disponibilidade refere-se à garantia da presença de informação ou recursos.
+Este conceito não se baseia apenas na disponibilidade dos dados em si, por exemplo,
+através da utilização da replicação de dados,
+mas também na proteção dos serviços que fornecem acesso aos dados, por exemplo,
+através da utilização de balanceamento de carga.
+
+#### Tríade AAA
+
+A tríade CID é frequentemente ampliada com Autenticação, Autorização e Auditoria,
+uma vez que estas estão intimamente ligadas aos conceitos da CID.
+A CID depende fortemente da autenticação e autorização;
+a confidencialidade e a integridade de dados sensíveis não podem ser garantidas sem elas.
+A auditoria é adicionada porque pode fornecer o mecanismo para garantir a prova de qualquer interação com o sistema.
+
+#### Autenticação
+
+[Autenticação][csauthn] consiste em confirmar a identidade da entidade que deseja interagir com um sistema seguro.
+Por exemplo, a entidade poderia ser um cliente automatizado ou um ator humano;
+em ambos os casos, a autenticação é necessária para um aplicativo seguro.
+
+#### Autorização
+
+[Autorização][csauthz] consiste em especificar direitos de acesso a recursos
+seguros (dados, serviços, arquivos, aplicativos, etc.).
+Esses direitos descrevem os privilégios ou níveis de acesso relacionados aos recursos que estão sendo protegidos.
+Autorização geralmente é precedida por uma autenticação bem-sucedida.
+
+#### Auditoria
+
+Auditoria trata-se do registro de eventos em nível de implementação,
+bem como eventos em nível de domínio que ocorrem em um sistema.
+Isso ajuda a proporcionar o não repúdio, o que significa que as alterações ou ações no sistema protegido são inegáveis.
+Auditoria pode fornecer não apenas informações técnicas sobre o sistema em execução,
+mas também prova de que ações específicas foram realizadas.
+As perguntas típicas respondidas pela auditoria são "Quem fez o quê, Quando e potencialmente Como?"
+
+#### Vulnerabilidades
+
+O NIST define [vulnerabilidade][nistvuln] como 'Fragilidade em um sistema de informação, procedimentos de
+segurança do sistema, controles internos ou implementação que possa ser explorada ou desencadeada por uma fonte de ameaça.'
+
+Existem muitas fragilidades ou bugs em todas as aplicações grandes, mas o termo vulnerabilidade é geralmente reservado
+para aquelas fragilidades ou bugs onde existe o risco de um agente de ameaça poder explorá-las usando um vetor de ameaça.
+
+Vulnerabilidades de segurança bem conhecidas:
+
+* [Clickjacking][csclick]
+* [Credential Stuffing][cscreds]
+* [Cross-site leaks][csxsleaks]
+* Ataques de [Negação de Serviço][csdos] (DoS)
+* [Ataque de XSS][csdom] baseado em DOM incluindo [DOM Clobbering][csdomclub]
+* [IDOR][csidor] (Referência Direta Insegura a Objetos)
+* [Injeção][csinjection] incluindo [Injeção de Comando do OS][csosinjection] e [XXE][csxxe]
+* [Ataques de injeção][csldap] específicos de LDAP
+* [Poluição de protótipos][csproto]
+* Ataques de [SSRF][csssrf]
+* [Injeção de SQL][cssql] e o uso de [Parametrização de queries][csquery]
+* [Redirecionamentos e encaminhamentos não validados][csredirect]
+* [Ataques de XSS][csxss] e [Evasão de Filtro XSS][csxssevade]
+
+#### HTTP and HTML
+
+Embora não seja uma segurança fundamental como tal, as aplicações web dependem de comunicações HTTP e HTML.
+Tanto os desenvolvedores de aplicações quanto os engenheiros de segurança devem ter um bom entendimento de HTTP
+e a linguagem HTML juntamente com seus vários controles de segurança.
+
+A maioria das equipes de desenvolvimento de aplicações estará familiarizada com as comunicações HTTP e o padrão HTML
+mas, se necessário, consulte o treinamento do [W3 Consortium][w3consortium] ou da [W3 Schools][w3schools].
+O OWASP [Cheat Sheet Series][cheatsheets] fornece aos desenvolvedores de aplicações web as informações
+necessárias para produzir software seguro:
+
+* A folha de dicas [HTML5 Security][cshtml5] descreve uma grande variedade de controles,
+ alinhados com o atual [HTML Living Standard][htmlliving]
+* Consulte a folha de dicas para CSS [Securing Cascading Style Sheets][cscss]
+* Os cabeçalhos HTTP precisam sem seguros, veja a folha de dicas [HTTP Security Response Headers][csheaders]
+* Considere fortemente [HTTP Strict Transport Security][csstrict]
+* Se a aplicação tem uma funcionalidade de upload de arquivo, siga a folha de dicas [File Upload][csfile]
+* Certifique-se de que a política de segurança de conteúdo esteja em vigor usando
+ a folha de dicas [Content Security Policy][cscsp]
+* Usando JWTs para uma aplicação Java? Consulte a folha de dicas [JSON Web Token][csjwt]
+* Armazenando our enviando objetos? Confira a folha de dicas [Deserialization][csserial]
+
+#### Referências
+
+* [WHATWG][whatwg] [HTML Living Standard][htmlliving]
+* OWASP [Cheat Sheet Series][cheatsheets]
+* OWASP [Modelo de Maturidade de Software Assurance][samm] (SAMM)
+
+----
+
+O Guia do Desenvolvedor da OWASP é um trabalho da comunidade; se há algo que precisa ser mudado
+então [submeta uma issue][issue0401] ou [edite no GitHub][edit0401].
+
+[cheatsheets]: https://cheatsheetseries.owasp.org/
+[csclick]: https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet
+[cscreds]: https://cheatsheetseries.owasp.org/cheatsheets/Credential_Stuffing_Prevention_Cheat_Sheet
+[cscsp]: https://cheatsheetseries.owasp.org/cheatsheets/Content_Security_Policy_Cheat_Sheet
+[cscss]: https://cheatsheetseries.owasp.org/cheatsheets/Securing_Cascading_Style_Sheets_Cheat_Sheet
+[csdom]: https://cheatsheetseries.owasp.org/cheatsheets/DOM_based_XSS_Prevention_Cheat_Sheet
+[csdomclub]: https://cheatsheetseries.owasp.org/cheatsheets/DOM_Clobbering_Prevention_Cheat_Sheet
+[csdos]: https://cheatsheetseries.owasp.org/cheatsheets/Denial_of_Service_Cheat_Sheet
+[csidor]: https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet
+[csinjection]: https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet
+[csosinjection]: https://cheatsheetseries.owasp.org/cheatsheets/OS_Command_Injection_Defense_Cheat_Sheet
+[csldap]: https://cheatsheetseries.owasp.org/cheatsheets/LDAP_Injection_Prevention_Cheat_Sheet
+[csproto]: https://cheatsheetseries.owasp.org/cheatsheets/Prototype_Pollution_Prevention_Cheat_Sheet
+[csauthn]: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet
+[csauthz]: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet
+[csfile]: https://cheatsheetseries.owasp.org/cheatsheets/File_Upload_Cheat_Sheet
+[csheaders]: https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Headers_Cheat_Sheet
+[cshtml5]: https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet
+[csjwt]: https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet
+[csredirect]: https://cheatsheetseries.owasp.org/cheatsheets/Unvalidated_Redirects_and_Forwards_Cheat_Sheet
+[csserial]: https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet
+[cssql]: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet
+[csquery]: https://cheatsheetseries.owasp.org/cheatsheets/Query_Parameterization_Cheat_Sheet
+[csssrf]: https://cheatsheetseries.owasp.org/cheatsheets/Server_Side_Request_Forgery_Prevention_Cheat_Sheet
+[csstrict]: https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Strict_Transport_Security_Cheat_Sheet
+[csxss]: https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet
+[csxsleaks]: https://cheatsheetseries.owasp.org/cheatsheets/XS_Leaks_Cheat_Sheet
+[csxssevade]: https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet
+[csxxe]: https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet
+[edit0401]: https://github.com/OWASP/DevGuide/blob/main/docs/pt-br/02-foundations/01-security-fundamentals.md
+[issue0401]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/01-security-fundamentals
+[htmlliving]: https://html.spec.whatwg.org/multipage/
+[nistvuln]: https://csrc.nist.gov/glossary/term/vulnerability
+[samm]: https://owaspsamm.org/about/
+[sammd]: https://owaspsamm.org/model/design/
+[sammg]: https://owaspsamm.org/model/governance/
+[sammi]: https://owaspsamm.org/model/implementation/
+[sammo]: https://owaspsamm.org/model/operations/
+[sammv]: https://owaspsamm.org/model/verification/
+[w3consortium]: https://www.w3.org/
+[w3schools]: https://www.w3schools.com/html/
+[whatwg]: https://whatwg.org/
diff --git a/docs/pt-br/02-foundations/05-top-ten.md b/docs/pt-br/02-foundations/05-top-ten.md
new file mode 100644
index 00000000..47af7735
--- /dev/null
+++ b/docs/pt-br/02-foundations/05-top-ten.md
@@ -0,0 +1,217 @@
+{ align=right width=180 }
+
+O OWASP Top Dez é uma lista muito conhecida de riscos de segurança de aplicações web,
+e está incluído no Modelo de Maturidade de Software Assurance do OWASP [(SAMM)][samm]
+na prática de Educação e Orientação dentro da função de negócios de Governança.
+
+#### Visão geral
+
+O projeto [Top 10 Riscos de Segurança de Aplicações Web][top10project] do OWASP é provavelmente o conceito de segurança
+mais conhecido dentro da comunidade de segurança, alcançando ampla aceitação e fama logo após seu lançamento em 2003.
+Muitas vezes referida apenas como 'OWASP Top Dez', é uma lista que identifica as ameaças mais importantes
+para aplicações web e busca classificá-las de acordo com sua importância e gravidade.
+
+A lista mudou ao longo do tempo, com alguns tipos de ameaças se tornando um problema maior para aplicações web
+e outras ameaças passando a ter um grau menor de risco à medida que as tecnologias mudam.
+A [versão mais recente][top10] foi lançada em 2021 e cada categoria está resumida abaixo.
+
+Observe que existem vários projetos 'OWASP Top Dez', por exemplo, o 'OWASP Top 10 para Aplicações de Modelos de
+Linguagem de Grande Escala', portanto, para evitar confusão, o contexto deve ser observado ao se referir a essas listas.
+
+#### A01:2021 Controle de Acesso Quebrado
+
+Controle de acesso envolve a utilização de mecanismos de proteção que podem ser categorizados como:
+
+* Autenticação (comprovando a identidade de um ator)
+* Autorização (assegurando-se de que um determinado ator pode acessar um recurso)
+* Prestação de contas (registro de atividades realizadas)
+
+Controle de acesso quebrado é quando o produto não restringe ou restringe incorretamente o acesso a um recurso
+de um ator não autorizado ou malicioso.
+Quando um controle de segurança falha ou não é aplicado, invasores podem comprometer a segurança do produto
+ganhando privilégios, lendo informações confidenciais, executando comandos, evitando detecção, etc.
+
+Controle de Acesso Quebrado pode assumir muitas formas, tais como path traversal ou elevação de privilégio,
+portanto, consulte a [Enumeração de Fraqueza Comum CWE-284][cwe284] e o [Controle de Acesso Quebrado A01][a01]
+e também siga as diversas [Folhas de Dicas do OWASP][a01cs] relacionadas a controles de acesso.
+
+#### A02:2021 Falhas Criptográficas
+
+De acordo com [OWASP Top 10 A02:2021][a02], dados confidenciais devem ser protegidos quando em repouso e em trânsito.
+Falhas criptográficas ocorrem quando o controle de segurança criptográfica é quebrado ou não aplicado,
+e os dados são expostos a atores não autorizados – maliciosos ou não.
+
+É importante proteger dados tanto em repouso, quando armazenados em uma área da memória,
+quanto em trânsito, como sendo transmitido através de um canal de comunicação ou sendo transformado.
+Um bom exemplo de proteção na transformação de dados é dado na categoria [A02 Falhas Criptográficas][a02]
+onde os dados confidenciais são criptografados adequadamente em um banco de dados, mas a função de exportação descriptografa
+os dados automaticamente, levando à exposição de dados confidenciais.
+
+Falhas de criptografia podem assumir muitas formas e podem ser sutis – um controle de
+segurança que parece seguro pode ser facilmente quebrado.
+Siga as [Folhas de Dicas do OWASP][a02cs] de criptografia para pôr os controles básicos de criptografia em vigor
+e considere implementar uma auditoria de criptografia.
+
+#### A03:2021 Injeção
+
+A falta de validação e sanitização de entrada pode levar a exploits de injeção,
+e esse risco tem sido uma característica constante do OWASP Top Dez desde que a primeira versão foi publicada em 2003.
+Essas vulnerabilidades ocorrem quando dados hostis são usados diretamente na aplicação e podem resultar
+em dados maliciosos sendo usados para subverter a aplicação; veja [A03 Injeção][a03] para mais explicações.
+
+O controle de segurança é direto: todas as entradas de fontes não confiáveis devem ser sanitizadas e validadas.
+Veja as [Injection Cheat Sheets][a03cs] para os vários tipos de entrada e seus controles.
+
+#### A04:2021 Design Inseguro
+
+É importante que segurança seja incorporada em aplicações desde o início e não aplicada como uma reflexão tardia.
+A categoria [A04 Design Inseguro][a04] reconhece isso e aconselha que
+o uso de modelagem de ameaças, padrões de design seguros e arquiteturas de referência
+deve ser incorporado às atividades de design e arquitetura da aplicação.
+
+Na prática, isso envolve estabelecer um ciclo de desenvolvimento seguro que incentive
+a identificação de requisitos de segurança, o uso periódico de modelagem de ameaças
+e a consideração de bibliotecas e frameworks seguros existentes.
+Esta categoria foi introduzida na versão de 2021 e, por enquanto,
+as folhas de dicas de suporte cobrem apenas [modelagem de ameaças][cstm];
+à medida que esta categoria se torna mais estabelecida, espera-se que mais informação de suporte se torne disponível.
+
+#### A05:2021 Configuração Incorreta de Segurança
+
+Sistemas e aplicações grandes podem ser configuráveis, e essa configuração é
+frequentemente usada para proteger o sistema/aplicação.
+Se essa configuração for mal aplicada, a aplicação pode não ser mais segura
+e, em vez disso, ficar vulnerável a exploits bem conhecidos. A página [A05 Configuração Incorreta de Segurança][a05] contém
+um exemplo comum de configuração incorreta em que contas padrão e suas senhas ainda estão habilitadas e inalteradas.
+Essas senhas e contas são geralmente bem conhecidas e fornecem uma maneira
+fácil para agentes maliciosos comprometerem aplicações.
+
+Tanto o [OWASP Top 10 A05:2021][a05] quanto as [Folhas de Dicas do OWASP][a05cs] vinculadas fornecem estratégias para
+estabelecer um processo de configuração de segurança de aplicação repetível
+e coordenado para minimizar configuração incorreta.
+
+#### A06:2021 Componentes Vulneráveis e Desatualizados
+
+Talvez uma das atividades de segurança mais fáceis e eficazes
+seja manter todas as dependências de software de terceiros atualizadas.
+Se uma dependência vulnerável for identificada por um agente malicioso durante a fase de reconhecimento de um ataque
+então há bancos de dados disponíveis, como o [Exploit Database][exploit],
+que fornecerão uma descrição de qualquer exploração.
+Esses bancos de dados também podem fornecer scripts e técnicas prontos para atacar uma determinada vulnerabilidade,
+fazendo que dependências vulneráveis de software de terceiros sejam mais facilmente exploradas.
+
+O risco [A06 Componentes Vulneráveis e Desatualizados][a06] destaca a importância dessa atividade,
+e recomenda que correções e atualizações para a plataforma, estruturas e dependências subjacentes
+sejam baseadas em uma avaliação de risco e feitas de forma 'oportuna'.
+Várias ferramentas podem ser usadas para analisar dependências e sinalizar vulnerabilidades,
+consulte as [Folhas de Dicas][a06cs] para elas.
+
+#### A07:2021 Falhas de Identificação e Autenticação
+
+Confirmação da identidade do usuário, autenticação e gerenciamento de sessão é essencial
+para proteger o sistema ou aplicação contra ataques relacionados à autenticação.
+De acordo com o risco [A07 Falhas de Identificação e Autenticação][a07], a autorização pode falhar de várias maneiras
+que frequentemente envolvem outros riscos do OWASP Top Ten:
+
+* controles de acesso quebrados (A01)
+* falha criptográfica (A02)
+* senhas padrão (A05)
+* bibliotecas desatualizadas (A06)
+
+Consulte as [Folhas de Dicas][a07cs] para as várias boas práticas necessárias para autorização segura.
+Há também fornecedores terceirizados de Gerenciamento de Identidade e Acesso (IAM) que fornecerão isso como um serviço,
+considere o custo/benefício de usar esses fornecedores (geralmente comerciais).
+
+#### A08:2021 Falhas de Integridade de Software e de Dados
+
+Falhas de integridade de software e de dados estão relacionadas a código e
+infraestrutura que não protegem contra violações de integridade.
+Esta é uma categoria abrangente que descreve [ataques à cadeia de suprimento][cschain],
+atualização automática comprometida e uso de componentes não confiáveis, por exemplo.
+[A07 Falhas de Integridade de Software e de Dados][a08] foi uma nova categoria introduzida em 2021
+então há pouca informação disponível nas [Folhas de Dicas][a08cs],
+mas isso certamente mudará para uma ameaça tão importante.
+
+#### A09:2021 Falhas de Registro e Monitoramento de Segurança
+
+Registro e o monitoramento ajudam a detectar, escalar e responder a violações ativas;
+sem isso, as violações não serão detectadas.
+[A09 Falhas de registro e monitoramento de segurança][a09] lista várias técnicas de registro e monitoramento que devem ser
+familiares, mas também outras que podem não ser tão comuns;
+por exemplo, monitorar a cadeia de suprimento de DevOps pode ser tão importante quanto monitorar a aplicação ou sistema.
+As [Folhas de Dicas][a09cs] fornecem orientação sobre registro adequado e também fornecem um vocabulário comum de registro.
+O objetivo deste vocabulário comum é fornecer registro que use um conjunto comum de termos, formatos e palavras-chave;
+e isso permite monitoramento, análise e alerta mais fáceis.
+
+#### A10:2021 Falsificação de Solicitação do Lado do Servidor
+
+Referindo-se a [A10 Falsificação de Solicitação do Lado do Servidor (SSRF)][a10], essas vulnerabilidades podem ocorrer
+sempre que uma aplicação web estiver buscando um recurso remoto sem validar a URL fornecida pelo usuário.
+Esses exploits permitem que um invasor coaja a aplicação a enviar uma requisição elaborada para um destino inesperado,
+mesmo quando protegido por um firewall, VPN ou outro tipo de lista de controle de acesso à rede.
+A solicitação de recursos de URLs se tornou um cenário comum para aplicações web modernas, como resultado, a incidência de
+SSRF está aumentando, especialmente para [serviços na nuvem][cscloud] e arquiteturas de aplicações mais complexas.
+
+Esta é uma nova categoria introduzida em 2021 com uma única (por enquanto) [Folha de Dicas][a10cs] que lida com SSRF.
+
+#### OWASP top dez
+
+Existem vários projetos 'Top 10' criados pelo OWASP que, dependendo do contexto,
+também podem ser referidos como 'OWASP Top 10'. Aqui está uma lista dos projetos 'OWASP Top 10' estáveis:
+
+* [API Security Top 10][apisec]
+* [Data Security Top 10][data10]
+* [Low-Code/No-Code Top 10][lcnc10]
+* [Mobile Top 10][mobile10]
+* [Serverless Top 10][serverless10]
+* [Top 10 CI/CD Security Risks][cicd10]
+* [Top 10 for Large Language Model Applications][llm10]
+* [Top 10 Privacy Risks][privacy10]
+* [Top 10 Proactive Controls][proactive10]
+* [Top 10 Web Application Security Risks][top10]
+
+Outros Top 10 do OWASP são projetos de “incubadoras”, que estão em andamento, portanto esta lista mudará com o tempo.
+
+----
+
+O Guia do Desenvolvedor do OWASP é um trabalho da comunidade; se há algo que precisa ser mudado
+então [submeta uma issue][issue0405] ou [edite no GitHub][edit0405].
+
+[a01]: https://owasp.org/Top10/A01_2021-Broken_Access_Control/
+[a01cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a012021-broken-access-control
+[a02]: https://owasp.org/Top10/A02_2021-Cryptographic_Failures/
+[a02cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a022021-cryptographic-failures
+[a03]: https://owasp.org/Top10/A03_2021-Injection/
+[a03cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a032021-injection
+[a04]: https://owasp.org/Top10/A04_2021-Insecure_Design/
+[a05]: https://owasp.org/Top10/A05_2021-Security_Misconfiguration/
+[a05cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a052021-security-misconfiguration
+[a06]: https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/
+[a06cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a062021-vulnerable-and-outdated-components
+[a07]: https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/
+[a07cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a072021-identification-and-authentication-failures
+[a08]: https://owasp.org/Top10/A08_2021-Software_and_Data_Integrity_Failures/
+[a08cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a082021-software-and-data-integrity-failures
+[a09]: https://owasp.org/Top10/A09_2021-Security_Logging_and_Monitoring_Failures/
+[a09cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a092021-security-logging-and-monitoring-failures
+[a10]: https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/
+[a10cs]: https://cheatsheetseries.owasp.org/IndexTopTen.html#a102021-server-side-request-forgery-ssrf
+[apisec]: https://owasp.org/API-Security
+[cicd10]: https://owasp.org/www-project-top-10-ci-cd-security-risks/
+[cschain]: https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet
+[cscloud]: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Cloud_Architecture_Cheat_Sheet
+[cstm]: https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet
+[cwe284]: https://cwe.mitre.org/data/definitions/284.html
+[data10]: https://owasp.org/www-project-data-security-top-10/
+[edit0405]: https://github.com/OWASP/DevGuide/blob/main/docs/pt-br/02-foundations/05-top-ten.md
+[exploit]: https://www.exploit-db.com/
+[issue0405]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/05-top-ten
+[lcnc10]: https://owasp.org/www-project-top-10-low-code-no-code-security-risks/
+[mobile10]: https://owasp.org/www-project-mobile-top-10/
+[privacy10]: https://owasp.org/www-project-top-10-privacy-risks/
+[proactive10]: https://owasp.org/www-project-proactive-controls/
+[samm]: https://owaspsamm.org/about/
+[serverless10]: https://owasp.org/www-project-serverless-top-10/
+[top10project]: https://owasp.org/www-project-top-ten/
+[top10]: https://owasp.org/Top10/
+[llm10]: https://owasp.org/www-project-top-10-for-large-language-model-applications/
diff --git a/docs/pt-br/02-foundations/index.md b/docs/pt-br/02-foundations/index.md
new file mode 100644
index 00000000..d108cb34
--- /dev/null
+++ b/docs/pt-br/02-foundations/index.md
@@ -0,0 +1,27 @@
+{ align=right width=180 }
+
+Existem vários conceitos e terminologias fundamentais que são comumente usados em segurança de software.
+Embora muitos desses conceitos sejam complexos de implementar e sejam baseados em teorias pesadas,
+os princípios são geralmente bastante diretos e acessíveis para todos os engenheiros de software.
+
+Uma compreensão razoável desses conceitos fundamentais permite que as equipes de desenvolvimento entendam e implementem
+segurança de software para o aplicativo ou sistema em desenvolvimento.
+Este Guia do desenvolvedor oferece apenas uma breve visão geral desses conceitos,
+para conhecimento aprofundado, consulte os diversos textos sobre segurança,
+como o [The Cyber Security Body Of Knowledge][cbok].
+
+Se mudanças estiverem sendo introduzidas na cultura de segurança de uma organização,
+certifique-se de que haja apoio da administração e metas claras a serem alcançadas.
+Sem isso, as tentativas de melhorar a postura de segurança provavelmente falharão - veja o
+projeto [Cultura de Segurança][culturegoal] para a importância de obter gerenciamento,
+equipes de segurança e desenvolvimento trabalhando juntos.
+
+----
+
+O Guia do Desenvolvedor do OWASP é um trabalho da comunidade; se há algo que precisa ser mudado
+então [submeta uma issue][issue0400] ou [edite no GitHub][edit0400].
+
+[cbok]: https://www.cybok.org/
+[culturegoal]: https://owasp.org/www-project-security-culture/stable/3-Goal_Setting_and_Security_Team_Collaboration/
+[edit0400]: https://github.com/OWASP/DevGuide/blob/main/docs/pt-br/02-foundations/index.md
+[issue0400]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2002-foundations/index
diff --git a/docs/pt-br/index.md b/docs/pt-br/index.md
new file mode 100644
index 00000000..8f838ffb
--- /dev/null
+++ b/docs/pt-br/index.md
@@ -0,0 +1,72 @@
+{ align=right width="180" }
+
+Bem-vindo ao Guia de Desenvolvimento do OWASP.
+
+O Open Worldwide Application Security Project ([OWASP][about]) é uma fundação sem fins lucrativos
+que trabalha para melhorar a segurança de software.
+Ela é uma comunidade aberta dedicada a possibilitar que organizações
+concebam, desenvolvam, adquiram, operem e mantenham aplicações confiáveis.
+
+Juntamente com o OWASP Top Dez, o Guia do Desenvolvedor é um dos recursos originais
+publicado logo após a fundação OWASP ser formada em 2001.
+A versão 1.0 do Guia do desenvolvedor foi lançada em 2002
+e desde então houve vários [lançamentos][versions] culminando na versão 2.0 em 2005.
+Desde então, o guia foi extensivamente revisado para que mantenha-se atualizado.
+As versões mais recentes são 4.x porque a versão 3.0 nunca foi lançada.
+
+O propósito deste guia é fornecer uma introdução aos conceitos de segurança
+e uma referência útil para desenvolvedores de aplicações/sistemas.
+Ele geralmente descreve práticas de segurança usando os conselhos dados no
+Modelo de Maturidade de Software Assurance do OWASP ([SAMM][samm]) e descreve os projetos do OWASP
+referenciados no projeto [Application Security Wayfinder][intstand] do OWASP.
+
+Este guia não procura replicar as muitas fontes excelentes sobre tópicos específicos de segurança;
+ele raramente tentará entrar em detalhes sobre um assunto e, em vez disso, fornecerá links com maior
+profundidade nesses tópicos de segurança.
+Em vez disso, o conteúdo do Guia do Desenvolvedor tem por finalidade ser acessível,
+introduzindo conceitos práticos de segurança e fornecendo detalhes suficientes para que desenvolvedores
+comecem a usar várias ferramentas e documentos do OWASP.
+
+Todos os projetos e ferramentas do OWASP descritos neste guia são gratuitos para download e uso.
+Todos os projetos do OWASP são de código aberto; participe se estiver interessado em melhorar a segurança de aplicações.
+
+#### Público-alvo
+
+Desenvolvedores devem usar este Guia do Desenvolvedor do OWASP para ajudar a escrever aplicações mais seguras.
+O guia foi escrito pela comunidade de segurança para ajudar desenvolvedores de software a escreverem aplicações sólidas,
+seguras e protegidas.
+A maioria dos colaboradores deste guia também são desenvolvedores de software e engenheiros de segurança,
+e isso ajuda a manter o foco centrado no desenvolvedor.
+
+Se você está com pressa e deseja informações sobre um assunto específico, então
+experimente o LLM do [OpenCRE chat][opencrechat] para respostas imediatas.
+
+#### O que é o Guia do Desenvolvedor?
+
+Você pode pensar neste guia como uma fonte de referência cruzada para as diversas ferramentas e documentos
+que o OWASP fornece aos desenvolvedores.
+
+Ou você pode considerar que o objetivo deste guia seja de responder à pergunta:
+ “Sou desenvolvedor e preciso de um guia de referência para navegar as inúmeras ferramentas de segurança
+ e atividades de segurança que eu sei que deveria realizar.
+
+Ou pense nele como uma coleção de artigos que apresentam aos desenvolvedores o amplo domínio da segurança de aplicações.
+
+Ou você pode considerar este guia como um documento complementar ao projeto [Padrões de Integração][intstand] do OWASP:
+o Application Security Wayfinder mapeia as muitas ferramentas,
+projetos e documentos dentro do OWASP, e o Guia do Desenvolvedor fornece um contexto 'verboso'.
+
+[][intstand]
+
+----
+
+O Guia do Desenvolvedor do OWASP é um trabalho da comunidade; se há algo que precisa ser mudado
+então [submeta uma issue][issue03] ou [edite no GitHub][edit03].
+
+[about]: https://owasp.org/about/
+[edit03]: https://github.com/OWASP/DevGuide/blob/main/docs/pt-br/index.md
+[intstand]: https://owasp.org/www-project-integration-standards/
+[issue03]: https://github.com/OWASP/DevGuide/issues/new?labels=enhancement&template=request.md&title=Update:%2001-introduction
+[opencrechat]: https://www.opencre.org/chatbot
+[samm]: https://owaspsamm.org/about/
+[versions]: https://github.com/OWASP/DevGuide/wiki#old-versions
diff --git a/mkdocs-pdf-en.yaml b/mkdocs-pdf-en.yaml
new file mode 100644
index 00000000..bbd43d9e
--- /dev/null
+++ b/mkdocs-pdf-en.yaml
@@ -0,0 +1,172 @@
+site_name: OWASP Developer Guide
+site_description: OWASP Foundation Developer Guide project
+site_author: OWASP Developer Guide team
+site_url: https://devguide.owasp.org/
+
+copyright: Licensed under the Creative Commons Attribution Share Alike 4.0 International license.
+
+repo_name: OWASP/DevGuide
+repo_url: https://github.com/OWASP/DevGuide
+
+theme:
+ name: material
+ language: en
+ logo: assets/images/dg_logo_solid.png
+ favicon: assets/images/favicon.png
+
+markdown_extensions:
+ - def_list
+ - attr_list
+ - md_in_html
+
+plugins:
+ - with-pdf: # https://github.com/orzih/mkdocs-with-pdf
+ output_path: OWASP_Developer_Guide.pdf
+ exclude_pages:
+ - 'es/'
+ - 'fa/'
+ - 'pt-br/'
+ cover_title: OWASP Developer Guide
+ cover_subtitle: A guide to building secure Web Applications and Web Services
+ cover_logo: assets/images/dg_logo.png
+ author: Open Worldwide Application Security Project (OWASP)
+ copyright: Creative Commons Attribution ShareAlike 4.0 International (CC BY-SA 4.0)
+
+nav:
+ - Introduction: index.md
+ - Foundations:
+ - Overview: en/02-foundations/index.md
+ - Security fundamentals: en/02-foundations/01-security-fundamentals.md
+ - Secure development and integration: en/02-foundations/02-secure-development.md
+ - Principles of security: en/02-foundations/03-security-principles.md
+ - Principles of cryptography: en/02-foundations/04-crypto-principles.md
+ - OWASP Top 10: en/02-foundations/05-top-ten.md
+ - Requirements:
+ - Overview: en/03-requirements/index.md
+ - Requirements in practice: en/03-requirements/01-requirements.md
+ - Risk profile: en/03-requirements/02-risk.md
+ - OpenCRE: en/03-requirements/03-opencre.md
+ - SecurityRAT: en/03-requirements/04-security-rat.md
+ - ASVS: en/03-requirements/05-asvs.md
+ - MAS: en/03-requirements/06-mas.md
+ - SKF: en/03-requirements/07-skf.md
+ - Design:
+ - Overview: en/04-design/index.md
+ - Threat modeling:
+ - Overview: en/04-design/01-threat-modeling/index.md
+ - Threat modeling in practice: en/04-design/01-threat-modeling/01-threat-modeling.md
+ - pytm: en/04-design/01-threat-modeling/02-pytm.md
+ - Threat Dragon: en/04-design/01-threat-modeling/03-threat-dragon.md
+ - Cornucopia: en/04-design/01-threat-modeling/04-cornucopia.md
+ - LINDDUN GO: en/04-design/01-threat-modeling/05-linddun-go.md
+ - Threat Modeling toolkit: en/04-design/01-threat-modeling/06-toolkit.md
+ - Web application checklist:
+ - Overview: en/04-design/02-web-app-checklist/index.md
+ - Secure by Default: en/04-design/02-web-app-checklist/01-secure-by-default.md
+ - Leverage Security Frameworks and Libraries: en/04-design/02-web-app-checklist/02-frameworks-libraries.md
+ - Secure Database Access: en/04-design/02-web-app-checklist/03-secure-database-access.md
+ - Encode and Escape Data: en/04-design/02-web-app-checklist/04-encode-escape-data.md
+ - Validate All Inputs: en/04-design/02-web-app-checklist/05-validate-inputs.md
+ - Implement Digital Identity: en/04-design/02-web-app-checklist/06-digital-identity.md
+ - Enforce Access Controls: en/04-design/02-web-app-checklist/07-access-controls.md
+ - Protect Data Everywhere: en/04-design/02-web-app-checklist/08-protect-data.md
+ - Implement Security Logging and Monitoring: en/04-design/02-web-app-checklist/09-logging-monitoring.md
+ - Handle all Errors and Exceptions: en/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
+ - MAS checklist: en/04-design/03-mas-checklist.md
+ - Implementation:
+ - Overview: en/05-implementation/index.md
+ - Documentation:
+ - Overview: en/05-implementation/01-documentation/index.md
+ - Top 10 Proactive Controls: en/05-implementation/01-documentation/01-proactive-controls.md
+ - Go Secure Coding Practices: en/05-implementation/01-documentation/02-go-scp.md
+ - Cheatsheet Series: en/05-implementation/01-documentation/03-cheatsheets.md
+ - Dependencies:
+ - Overview: en/05-implementation/02-dependencies/index.md
+ - Dependency-Check: en/05-implementation/02-dependencies/01-dependency-check.md
+ - Dependency-Track: en/05-implementation/02-dependencies/02-dependency-track.md
+ - CycloneDX: en/05-implementation/02-dependencies/03-cyclonedx.md
+ - Secure Libraries:
+ - Overview: en/05-implementation/03-secure-libraries/index.md
+ - ESAPI: en/05-implementation/03-secure-libraries/01-esapi.md
+ - CSRFGuard: en/05-implementation/03-secure-libraries/02-csrf-guard.md
+ - OSHP: en/05-implementation/03-secure-libraries/03-secure-headers.md
+ - MASWE: en/05-implementation/04-maswe.md
+ - Verification:
+ - Overview: en/06-verification/index.md
+ - Guides:
+ - Overview: en/06-verification/01-guides/index.md
+ - WSTG: en/06-verification/01-guides/01-wstg.md
+ - MASTG: en/06-verification/01-guides/02-mastg.md
+ - ASVS: en/06-verification/01-guides/03-asvs.md
+ - Tools:
+ - Overview: en/06-verification/02-tools/index.md
+ - DAST tools: en/06-verification/02-tools/01-dast.md
+ - Amass: en/06-verification/02-tools/02-amass.md
+ - OWTF: en/06-verification/02-tools/03-owtf.md
+ - Nettacker: en/06-verification/02-tools/04-nettacker.md
+ - OSHP verification: en/06-verification/02-tools/05-secure-headers.md
+ - Frameworks:
+ - Overview: en/06-verification/03-frameworks/index.md
+ - secureCodeBox: en/06-verification/03-frameworks/01-secure-codebox.md
+ - Vulnerability management:
+ - Overview: en/06-verification/04-vulnerability-management/index.md
+ - DefectDojo: en/06-verification/04-vulnerability-management/01-defectdojo.md
+ - Training and Education:
+ - Overview: en/07-training-education/index.md
+ - Vulnerable Applications:
+ - Overview: en/07-training-education/01-vulnerable-apps/index.md
+ - Juice Shop: en/07-training-education/01-vulnerable-apps/01-juice-shop.md
+ - WebGoat: en/07-training-education/01-vulnerable-apps/02-webgoat.md
+ - PyGoat: en/07-training-education/01-vulnerable-apps/03-pygoat.md
+ - Security Shepherd: en/07-training-education/01-vulnerable-apps/04-security-shepherd.md
+ - Secure Coding Dojo: en/07-training-education/02-secure-coding-dojo.md
+ - SKF: en/07-training-education/03-skf.md
+ - SamuraiWTF: en/07-training-education/04-samurai-wtf.md
+ - OWASP Top 10: en/07-training-education/05-top-ten.md
+ - Mobile Top 10: en/07-training-education/06-mobile-top-ten.md
+ - API Top 10: en/07-training-education/07-api-top-ten.md
+ - WrongSecrets: en/07-training-education/08-wrongsecrets.md
+ - OWASP Snakes and Ladders: en/07-training-education/09-snakes-ladders.md
+ - Culture building and Process maturing:
+ - Overview: en/08-culture-process/index.md
+ - Security Culture: en/08-culture-process/01-security-culture.md
+ - Security Champions:
+ - Overview: en/08-culture-process/02-security-champions/index.md
+ - Security champions program: en/08-culture-process/02-security-champions/01-security-champions-program.md
+ - Security Champions Guide: en/08-culture-process/02-security-champions/02-security-champions-guide.md
+ - Security Champions Playbook: en/08-culture-process/02-security-champions/03-security-champions-playbook.md
+ - SAMM: en/08-culture-process/03-samm.md
+ - ASVS: en/08-culture-process/04-asvs.md
+ - MAS: en/08-culture-process/05-mas.md
+ - Operations:
+ - Overview: en/09-operations/index.md
+ - DevSecOps Guideline: en/09-operations/01-devsecops.md
+ - Coraza WAF: en/09-operations/02-coraza.md
+ - ModSecurity WAF: en/09-operations/03-modsecurity.md
+ - OWASP CRS: en/09-operations/04-crs.md
+ - Metrics:
+ - Overview: en/10-metrics/index.md
+ - Security gap analysis:
+ - Overview: en/11-security-gap-analysis/index.md
+ - Guides:
+ - Overview: en/11-security-gap-analysis/01-guides/index.md
+ - SAMM: en/11-security-gap-analysis/01-guides/01-samm.md
+ - ASVS: en/11-security-gap-analysis/01-guides/02-asvs.md
+ - MAS: en/11-security-gap-analysis/01-guides/03-mas.md
+ - BLT: en/11-security-gap-analysis/02-blt.md
+ - Appendices:
+ - Implementation Do's and Don'ts:
+ - Overview: en/12-appendices/01-implementation-dos-donts/index.md
+ - Container security: en/12-appendices/01-implementation-dos-donts/01-container-security.md
+ - Secure coding: en/12-appendices/01-implementation-dos-donts/02-secure-coding.md
+ - Cryptographic practices: en/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
+ - Application spoofing: en/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
+ - Content Security Policy (CSP): en/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
+ - Exception and error handling: en/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
+ - File management: en/12-appendices/01-implementation-dos-donts/07-file-management.md
+ - Memory management: en/12-appendices/01-implementation-dos-donts/08-memory-management.md
+ - Verification Do's and Don'ts:
+ - Overview: en/12-appendices/02-verification-dos-donts/index.md
+ - Secure environment: en/12-appendices/02-verification-dos-donts/01-secure-environment.md
+ - System hardening: en/12-appendices/02-verification-dos-donts/02-system-hardening.md
+ - Open Source software: en/12-appendices/02-verification-dos-donts/03-open-source-software.md
diff --git a/mkdocs-pdf-es.yaml b/mkdocs-pdf-es.yaml
new file mode 100644
index 00000000..94b8d561
--- /dev/null
+++ b/mkdocs-pdf-es.yaml
@@ -0,0 +1,177 @@
+site_name: La Guía del Desarrollador OWASP
+site_description: Un Proyecto abierto de seguridad de aplicaciones a nivel mundial
+site_author: La comunidad de la Guía del Desarrollador OWASP
+site_url: https://devguide.owasp.org/
+
+copyright: Creative Commons Attribution Share Alike 4.0 International license.
+
+repo_name: OWASP/DevGuide
+repo_url: https://github.com/OWASP/DevGuide
+
+theme:
+ name: material
+ language: es
+ logo: assets/images/dg_logo_solid.png
+ favicon: assets/images/favicon.png
+
+markdown_extensions:
+ - def_list
+ - attr_list
+ - md_in_html
+
+plugins:
+ - with-pdf: # https://github.com/orzih/mkdocs-with-pdf
+ output_path: OWASP_Developer_Guide-ES.pdf
+ exclude_pages:
+ - 'index.md'
+ - 'en/02-foundations/'
+ - 'en/03-requirements/'
+ - 'en/04-design/'
+ - 'en/05-implementation/'
+ - 'en/06-verification/'
+ - 'fa/'
+ - 'pt-br/'
+ cover_title: La Guía del Desarrollador OWASP
+ cover_subtitle: Un Proyecto abierto de seguridad de aplicaciones a nivel mundial
+ cover_logo: assets/images/dg_logo.png
+ author: Open Worldwide Application Security Project (OWASP)
+ copyright: Creative Commons Attribution ShareAlike 4.0 International (CC BY-SA 4.0)
+
+nav:
+ - Guía del Desarrollador: es/index.md
+ - Fundamentos:
+ - Descripción: es/02-foundations/index.md
+ - Fundamentos de seguridad: es/02-foundations/01-security-fundamentals.md
+ - Desarrollo e integración segura: es/02-foundations/02-secure-development.md
+ - Principios de seguridad: es/02-foundations/03-security-principles.md
+ - Principios de criptografía: es/02-foundations/04-crypto-principles.md
+ - OWASP Top 10: es/02-foundations/05-top-ten.md
+ - Requisitos:
+ - Descripción: es/03-requirements/index.md
+ - Requisitos en la práctica: es/03-requirements/01-requirements.md
+ - Perfil de riesgo: es/03-requirements/02-risk.md
+ - OpenCRE: es/03-requirements/03-opencre.md
+ - SecurityRAT: es/03-requirements/04-security-rat.md
+ - ASVS: es/03-requirements/05-asvs.md
+ - MAS: es/03-requirements/06-mas.md
+ - SKF: es/03-requirements/07-skf.md
+ - Diseño:
+ - Descripción: es/04-design/index.md
+ - Modelado de amenazas:
+ - Descripción: es/04-design/01-threat-modeling/index.md
+ - Modelado de amenazas en la práctica: es/04-design/01-threat-modeling/01-threat-modeling.md
+ - pytm: es/04-design/01-threat-modeling/02-pytm.md
+ - Threat Dragon: es/04-design/01-threat-modeling/03-threat-dragon.md
+ - Cornucopia: es/04-design/01-threat-modeling/04-cornucopia.md
+ - LINDDUN GO: es/04-design/01-threat-modeling/05-linddun-go.md
+ - Threat Modeling toolkit: es/04-design/01-threat-modeling/06-toolkit.md
+ - Lista de verificación para aplicaciones web:
+ - Descripción: es/04-design/02-web-app-checklist/index.md
+ - Definir Requisitos de Seguridad: es/04-design/02-web-app-checklist/01-define-security-requirements.md
+ - Aprovechar Marcos y Bibliotecas de Seguridad: es/04-design/02-web-app-checklist/02-frameworks-libraries.md
+ - Acceso Seguro a Bases de Datos: es/04-design/02-web-app-checklist/03-secure-database-access.md
+ - Codificar y Escapar Datos: es/04-design/02-web-app-checklist/04-encode-escape-data.md
+ - Validar Todas las Entradas: es/04-design/02-web-app-checklist/05-validate-inputs.md
+ - Implementar Identidad Digital: es/04-design/02-web-app-checklist/06-digital-identity.md
+ - Aplicar Controles de Acceso: es/04-design/02-web-app-checklist/07-access-controls.md
+ - Proteger Datos en Todas Partes: es/04-design/02-web-app-checklist/08-protect-data.md
+ - Implementar Registro y Monitoreo de Seguridad: es/04-design/02-web-app-checklist/09-logging-monitoring.md
+ - Manejar todos los Errores y Excepciones: es/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
+ - Lista de verificación MAS: es/04-design/03-mas-checklist.md
+ - Implementación:
+ - Descripción: es/05-implementation/index.md
+ - Documentation:
+ - Descripción: es/05-implementation/01-documentation/index.md
+ - Top 10 Proactive Controls: es/05-implementation/01-documentation/01-proactive-controls.md
+ - Go Secure Coding Practices: es/05-implementation/01-documentation/02-go-scp.md
+ - Cheatsheet Series: es/05-implementation/01-documentation/03-cheatsheets.md
+ - Dependencias:
+ - Descripción: es/05-implementation/02-dependencies/index.md
+ - Dependency-Check: es/05-implementation/02-dependencies/01-dependency-check.md
+ - Dependency-Track: es/05-implementation/02-dependencies/02-dependency-track.md
+ - CycloneDX: es/05-implementation/02-dependencies/03-cyclonedx.md
+ - Bibliotecas seguras:
+ - Descripción: es/05-implementation/03-secure-libraries/index.md
+ - ESAPI: es/05-implementation/03-secure-libraries/01-esapi.md
+ - CSRFGuard: es/05-implementation/03-secure-libraries/02-csrf-guard.md
+ - OSHP: es/05-implementation/03-secure-libraries/03-secure-headers.md
+ - MASWE: es/05-implementation/04-maswe.md
+ - Verificación:
+ - Descripción: es/06-verification/index.md
+ - Guías:
+ - Descripción: es/06-verification/01-guides/index.md
+ - WSTG: es/06-verification/01-guides/01-wstg.md
+ - MASTG: es/06-verification/01-guides/02-mastg.md
+ - ASVS: es/06-verification/01-guides/03-asvs.md
+ - Herramientas:
+ - Descripción: es/06-verification/02-tools/index.md
+ - DAST tools: es/06-verification/02-tools/01-dast.md
+ - Amass: es/06-verification/02-tools/02-amass.md
+ - OWTF: es/06-verification/02-tools/03-owtf.md
+ - Nettacker: es/06-verification/02-tools/04-nettacker.md
+ - OSHP verification: es/06-verification/02-tools/05-secure-headers.md
+ - Marcos de verificación:
+ - Descripción: es/06-verification/03-frameworks/index.md
+ - secureCodeBox: es/06-verification/03-frameworks/01-secure-codebox.md
+ - Gestión de vulnerabilidades:
+ - Descripción: es/06-verification/04-vulnerability-management/index.md
+ - DefectDojo: es/06-verification/04-vulnerability-management/01-defectdojo.md
+ - Training and Education:
+ - Overview: en/07-training-education/index.md
+ - Vulnerable Applications:
+ - Overview: en/07-training-education/01-vulnerable-apps/index.md
+ - Juice Shop: en/07-training-education/01-vulnerable-apps/01-juice-shop.md
+ - WebGoat: en/07-training-education/01-vulnerable-apps/02-webgoat.md
+ - PyGoat: en/07-training-education/01-vulnerable-apps/03-pygoat.md
+ - Security Shepherd: en/07-training-education/01-vulnerable-apps/04-security-shepherd.md
+ - Secure Coding Dojo: en/07-training-education/02-secure-coding-dojo.md
+ - SKF: en/07-training-education/03-skf.md
+ - SamuraiWTF: en/07-training-education/04-samurai-wtf.md
+ - OWASP Top 10: en/07-training-education/05-top-ten.md
+ - Mobile Top 10: en/07-training-education/06-mobile-top-ten.md
+ - API Top 10: en/07-training-education/07-api-top-ten.md
+ - WrongSecrets: en/07-training-education/08-wrongsecrets.md
+ - OWASP Snakes and Ladders: en/07-training-education/09-snakes-ladders.md
+ - Culture building and Process maturing:
+ - Overview: en/08-culture-process/index.md
+ - Security Culture: en/08-culture-process/01-security-culture.md
+ - Security Champions:
+ - Overview: en/08-culture-process/02-security-champions/index.md
+ - Security champions program: en/08-culture-process/02-security-champions/01-security-champions-program.md
+ - Security Champions Guide: en/08-culture-process/02-security-champions/02-security-champions-guide.md
+ - Security Champions Playbook: en/08-culture-process/02-security-champions/03-security-champions-playbook.md
+ - SAMM: en/08-culture-process/03-samm.md
+ - ASVS: en/08-culture-process/04-asvs.md
+ - MAS: en/08-culture-process/05-mas.md
+ - Operations:
+ - Overview: en/09-operations/index.md
+ - DevSecOps Guideline: en/09-operations/01-devsecops.md
+ - Coraza WAF: en/09-operations/02-coraza.md
+ - ModSecurity WAF: en/09-operations/03-modsecurity.md
+ - OWASP CRS: en/09-operations/04-crs.md
+ - Metrics:
+ - Overview: en/10-metrics/index.md
+ - Security gap analysis:
+ - Overview: en/11-security-gap-analysis/index.md
+ - Guides:
+ - Overview: en/11-security-gap-analysis/01-guides/index.md
+ - SAMM: en/11-security-gap-analysis/01-guides/01-samm.md
+ - ASVS: en/11-security-gap-analysis/01-guides/02-asvs.md
+ - MAS: en/11-security-gap-analysis/01-guides/03-mas.md
+ - BLT: en/11-security-gap-analysis/02-blt.md
+ - Appendices:
+ - Implementation Do's and Don'ts:
+ - Overview: en/12-appendices/01-implementation-dos-donts/index.md
+ - Container security: en/12-appendices/01-implementation-dos-donts/01-container-security.md
+ - Secure coding: en/12-appendices/01-implementation-dos-donts/02-secure-coding.md
+ - Cryptographic practices: en/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
+ - Application spoofing: en/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
+ - Content Security Policy (CSP): en/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
+ - Exception and error handling: en/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
+ - File management: en/12-appendices/01-implementation-dos-donts/07-file-management.md
+ - Memory management: en/12-appendices/01-implementation-dos-donts/08-memory-management.md
+ - Verification Do's and Don'ts:
+ - Overview: en/12-appendices/02-verification-dos-donts/index.md
+ - Secure environment: en/12-appendices/02-verification-dos-donts/01-secure-environment.md
+ - System hardening: en/12-appendices/02-verification-dos-donts/02-system-hardening.md
+ - Open Source software: en/12-appendices/02-verification-dos-donts/03-open-source-software.md
diff --git a/mkdocs-pdf-fa.yaml b/mkdocs-pdf-fa.yaml
new file mode 100644
index 00000000..798f156a
--- /dev/null
+++ b/mkdocs-pdf-fa.yaml
@@ -0,0 +1,172 @@
+site_name: OWASP Developer Guide
+site_description: OWASP Foundation Developer Guide project
+site_author: OWASP Developer Guide team
+site_url: https://devguide.owasp.org/
+
+copyright: Creative Commons Attribution Share Alike 4.0 International license.
+
+repo_name: OWASP/DevGuide
+repo_url: https://github.com/OWASP/DevGuide
+
+theme:
+ name: material
+ language: fa
+ logo: assets/images/dg_logo_solid.png
+ favicon: assets/images/favicon.png
+
+markdown_extensions:
+ - def_list
+ - attr_list
+ - md_in_html
+
+plugins:
+ - with-pdf: # https://github.com/orzih/mkdocs-with-pdf
+ output_path: OWASP_Developer_Guide-FA.pdf
+ exclude_pages:
+ - 'index.md'
+ - 'pt-br/'
+ - 'es/'
+ cover_title: Guia de Desenvolvimento do OWASP
+ cover_subtitle: Um Guia para a Construção de Aplicações e Serviços Web Seguros
+ cover_logo: assets/images/dg_logo.png
+ author: Open Worldwide Application Security Project (OWASP)
+ copyright: Creative Commons Attribution ShareAlike 4.0 International (CC BY-SA 4.0)
+
+nav:
+ - Introdução: pt-br/index.md
+ - Fundamentos:
+ - Introdução: pt-br/02-foundations/index.md
+ - Fundamentos de segurança: pt-br/02-foundations/01-security-fundamentals.md
+ - Secure development and integration: en/02-foundations/02-secure-development.md
+ - Principles of security: en/02-foundations/03-security-principles.md
+ - Principles of cryptography: en/02-foundations/04-crypto-principles.md
+ - OWASP Top Dez: pt-br/02-foundations/05-top-ten.md
+ - Requirements:
+ - Overview: en/03-requirements/index.md
+ - Requirements in practice: en/03-requirements/01-requirements.md
+ - Risk profile: en/03-requirements/02-risk.md
+ - OpenCRE: en/03-requirements/03-opencre.md
+ - SecurityRAT: en/03-requirements/04-security-rat.md
+ - ASVS: en/03-requirements/05-asvs.md
+ - MAS: en/03-requirements/06-mas.md
+ - SKF: en/03-requirements/07-skf.md
+ - Design:
+ - Overview: en/04-design/index.md
+ - Threat modeling:
+ - Overview: en/04-design/01-threat-modeling/index.md
+ - Threat modeling in practice: en/04-design/01-threat-modeling/01-threat-modeling.md
+ - pytm: en/04-design/01-threat-modeling/02-pytm.md
+ - Threat Dragon: en/04-design/01-threat-modeling/03-threat-dragon.md
+ - Cornucopia: en/04-design/01-threat-modeling/04-cornucopia.md
+ - LINDDUN GO: en/04-design/01-threat-modeling/05-linddun-go.md
+ - Threat Modeling toolkit: en/04-design/01-threat-modeling/06-toolkit.md
+ - Web application checklist:
+ - Overview: en/04-design/02-web-app-checklist/index.md
+ - Secure by Default: en/04-design/02-web-app-checklist/01-secure-by-default.md
+ - Leverage Security Frameworks and Libraries: en/04-design/02-web-app-checklist/02-frameworks-libraries.md
+ - Secure Database Access: en/04-design/02-web-app-checklist/03-secure-database-access.md
+ - Encode and Escape Data: en/04-design/02-web-app-checklist/04-encode-escape-data.md
+ - Validate All Inputs: en/04-design/02-web-app-checklist/05-validate-inputs.md
+ - Implement Digital Identity: en/04-design/02-web-app-checklist/06-digital-identity.md
+ - Enforce Access Controls: en/04-design/02-web-app-checklist/07-access-controls.md
+ - Protect Data Everywhere: en/04-design/02-web-app-checklist/08-protect-data.md
+ - Implement Security Logging and Monitoring: en/04-design/02-web-app-checklist/09-logging-monitoring.md
+ - Handle all Errors and Exceptions: en/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
+ - MAS checklist: en/04-design/03-mas-checklist.md
+ - Implementation:
+ - Overview: en/05-implementation/index.md
+ - Documentation:
+ - Overview: en/05-implementation/01-documentation/index.md
+ - Top 10 Proactive Controls: en/05-implementation/01-documentation/01-proactive-controls.md
+ - Go Secure Coding Practices: en/05-implementation/01-documentation/02-go-scp.md
+ - Cheatsheet Series: en/05-implementation/01-documentation/03-cheatsheets.md
+ - Dependencies:
+ - Overview: en/05-implementation/02-dependencies/index.md
+ - Dependency-Check: en/05-implementation/02-dependencies/01-dependency-check.md
+ - Dependency-Track: en/05-implementation/02-dependencies/02-dependency-track.md
+ - CycloneDX: en/05-implementation/02-dependencies/03-cyclonedx.md
+ - Secure Libraries:
+ - Overview: en/05-implementation/03-secure-libraries/index.md
+ - ESAPI: en/05-implementation/03-secure-libraries/01-esapi.md
+ - CSRFGuard: en/05-implementation/03-secure-libraries/02-csrf-guard.md
+ - OSHP: en/05-implementation/03-secure-libraries/03-secure-headers.md
+ - MASWE: en/05-implementation/04-maswe.md
+ - Verification:
+ - Overview: en/06-verification/index.md
+ - Guides:
+ - Overview: en/06-verification/01-guides/index.md
+ - WSTG: en/06-verification/01-guides/01-wstg.md
+ - MASTG: en/06-verification/01-guides/02-mastg.md
+ - ASVS: en/06-verification/01-guides/03-asvs.md
+ - Tools:
+ - Overview: en/06-verification/02-tools/index.md
+ - DAST tools: en/06-verification/02-tools/01-dast.md
+ - Amass: en/06-verification/02-tools/02-amass.md
+ - OWTF: en/06-verification/02-tools/03-owtf.md
+ - Nettacker: en/06-verification/02-tools/04-nettacker.md
+ - OSHP verification: en/06-verification/02-tools/05-secure-headers.md
+ - Frameworks:
+ - Overview: en/06-verification/03-frameworks/index.md
+ - secureCodeBox: en/06-verification/03-frameworks/01-secure-codebox.md
+ - Vulnerability management:
+ - Overview: en/06-verification/04-vulnerability-management/index.md
+ - DefectDojo: en/06-verification/04-vulnerability-management/01-defectdojo.md
+ - Training and Education:
+ - Overview: en/07-training-education/index.md
+ - Vulnerable Applications:
+ - Overview: en/07-training-education/01-vulnerable-apps/index.md
+ - Juice Shop: en/07-training-education/01-vulnerable-apps/01-juice-shop.md
+ - WebGoat: en/07-training-education/01-vulnerable-apps/02-webgoat.md
+ - PyGoat: en/07-training-education/01-vulnerable-apps/03-pygoat.md
+ - Security Shepherd: en/07-training-education/01-vulnerable-apps/04-security-shepherd.md
+ - Secure Coding Dojo: en/07-training-education/02-secure-coding-dojo.md
+ - SKF: en/07-training-education/03-skf.md
+ - SamuraiWTF: en/07-training-education/04-samurai-wtf.md
+ - OWASP Top 10: en/07-training-education/05-top-ten.md
+ - Mobile Top 10: en/07-training-education/06-mobile-top-ten.md
+ - API Top 10: en/07-training-education/07-api-top-ten.md
+ - WrongSecrets: en/07-training-education/08-wrongsecrets.md
+ - OWASP Snakes and Ladders: en/07-training-education/09-snakes-ladders.md
+ - Culture building and Process maturing:
+ - Overview: en/08-culture-process/index.md
+ - Security Culture: en/08-culture-process/01-security-culture.md
+ - Security Champions:
+ - Overview: en/08-culture-process/02-security-champions/index.md
+ - Security champions program: en/08-culture-process/02-security-champions/01-security-champions-program.md
+ - Security Champions Guide: en/08-culture-process/02-security-champions/02-security-champions-guide.md
+ - Security Champions Playbook: en/08-culture-process/02-security-champions/03-security-champions-playbook.md
+ - SAMM: en/08-culture-process/03-samm.md
+ - ASVS: en/08-culture-process/04-asvs.md
+ - MAS: en/08-culture-process/05-mas.md
+ - Operations:
+ - Overview: en/09-operations/index.md
+ - DevSecOps Guideline: en/09-operations/01-devsecops.md
+ - Coraza WAF: en/09-operations/02-coraza.md
+ - ModSecurity WAF: en/09-operations/03-modsecurity.md
+ - OWASP CRS: en/09-operations/04-crs.md
+ - Metrics:
+ - Overview: en/10-metrics/index.md
+ - Security gap analysis:
+ - Overview: en/11-security-gap-analysis/index.md
+ - Guides:
+ - Overview: en/11-security-gap-analysis/01-guides/index.md
+ - SAMM: en/11-security-gap-analysis/01-guides/01-samm.md
+ - ASVS: en/11-security-gap-analysis/01-guides/02-asvs.md
+ - MAS: en/11-security-gap-analysis/01-guides/03-mas.md
+ - BLT: en/11-security-gap-analysis/02-blt.md
+ - Appendices:
+ - Implementation Do's and Don'ts:
+ - Overview: en/12-appendices/01-implementation-dos-donts/index.md
+ - Container security: en/12-appendices/01-implementation-dos-donts/01-container-security.md
+ - Secure coding: en/12-appendices/01-implementation-dos-donts/02-secure-coding.md
+ - Cryptographic practices: en/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
+ - Application spoofing: en/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
+ - Content Security Policy (CSP): en/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
+ - Exception and error handling: en/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
+ - File management: en/12-appendices/01-implementation-dos-donts/07-file-management.md
+ - Memory management: en/12-appendices/01-implementation-dos-donts/08-memory-management.md
+ - Verification Do's and Don'ts:
+ - Overview: en/12-appendices/02-verification-dos-donts/index.md
+ - Secure environment: en/12-appendices/02-verification-dos-donts/01-secure-environment.md
+ - System hardening: en/12-appendices/02-verification-dos-donts/02-system-hardening.md
+ - Open Source software: en/12-appendices/02-verification-dos-donts/03-open-source-software.md
diff --git a/mkdocs-pdf-pt-br.yaml b/mkdocs-pdf-pt-br.yaml
new file mode 100644
index 00000000..0ee4e7ed
--- /dev/null
+++ b/mkdocs-pdf-pt-br.yaml
@@ -0,0 +1,175 @@
+site_name: Guia de Desenvolvimento do OWASP
+site_description: Um Guia para a Construção de Aplicações e Serviços Web Seguros
+site_author: Guia de Desenvolvimento do OWASP
+site_url: https://devguide.owasp.org/
+
+copyright: Creative Commons Attribution Share Alike 4.0 International license.
+
+repo_name: OWASP/DevGuide
+repo_url: https://github.com/OWASP/DevGuide
+
+theme:
+ name: material
+ language: pt
+ logo: assets/images/dg_logo_solid.png
+ favicon: assets/images/favicon.png
+
+markdown_extensions:
+ - def_list
+ - attr_list
+ - md_in_html
+
+plugins:
+ - with-pdf: # https://github.com/orzih/mkdocs-with-pdf
+ output_path: OWASP_Developer_Guide-PT-BR.pdf
+ exclude_pages:
+ - 'index.md'
+ - 'en/02-foundations/index.md'
+ - 'en/02-foundations/01-security-fundamentals.md'
+ - 'en/02-foundations/05-top-ten.md'
+ - 'es/'
+ - 'fa/'
+ cover_title: Guia de Desenvolvimento do OWASP
+ cover_subtitle: Um Guia para a Construção de Aplicações e Serviços Web Seguros
+ cover_logo: assets/images/dg_logo.png
+ author: Open Worldwide Application Security Project (OWASP)
+ copyright: Creative Commons Attribution ShareAlike 4.0 International (CC BY-SA 4.0)
+
+nav:
+ - Introdução: pt-br/index.md
+ - Fundamentos:
+ - Introdução: pt-br/02-foundations/index.md
+ - Fundamentos de segurança: pt-br/02-foundations/01-security-fundamentals.md
+ - Secure development and integration: en/02-foundations/02-secure-development.md
+ - Principles of security: en/02-foundations/03-security-principles.md
+ - Principles of cryptography: en/02-foundations/04-crypto-principles.md
+ - OWASP Top Dez: pt-br/02-foundations/05-top-ten.md
+ - Requirements:
+ - Overview: en/03-requirements/index.md
+ - Requirements in practice: en/03-requirements/01-requirements.md
+ - Risk profile: en/03-requirements/02-risk.md
+ - OpenCRE: en/03-requirements/03-opencre.md
+ - SecurityRAT: en/03-requirements/04-security-rat.md
+ - ASVS: en/03-requirements/05-asvs.md
+ - MAS: en/03-requirements/06-mas.md
+ - SKF: en/03-requirements/07-skf.md
+ - Design:
+ - Overview: en/04-design/index.md
+ - Threat modeling:
+ - Overview: en/04-design/01-threat-modeling/index.md
+ - Threat modeling in practice: en/04-design/01-threat-modeling/01-threat-modeling.md
+ - pytm: en/04-design/01-threat-modeling/02-pytm.md
+ - Threat Dragon: en/04-design/01-threat-modeling/03-threat-dragon.md
+ - Cornucopia: en/04-design/01-threat-modeling/04-cornucopia.md
+ - LINDDUN GO: en/04-design/01-threat-modeling/05-linddun-go.md
+ - Threat Modeling toolkit: en/04-design/01-threat-modeling/06-toolkit.md
+ - Web application checklist:
+ - Overview: en/04-design/02-web-app-checklist/index.md
+ - Secure by Default: en/04-design/02-web-app-checklist/01-secure-by-default.md
+ - Leverage Security Frameworks and Libraries: en/04-design/02-web-app-checklist/02-frameworks-libraries.md
+ - Secure Database Access: en/04-design/02-web-app-checklist/03-secure-database-access.md
+ - Encode and Escape Data: en/04-design/02-web-app-checklist/04-encode-escape-data.md
+ - Validate All Inputs: en/04-design/02-web-app-checklist/05-validate-inputs.md
+ - Implement Digital Identity: en/04-design/02-web-app-checklist/06-digital-identity.md
+ - Enforce Access Controls: en/04-design/02-web-app-checklist/07-access-controls.md
+ - Protect Data Everywhere: en/04-design/02-web-app-checklist/08-protect-data.md
+ - Implement Security Logging and Monitoring: en/04-design/02-web-app-checklist/09-logging-monitoring.md
+ - Handle all Errors and Exceptions: en/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
+ - MAS checklist: en/04-design/03-mas-checklist.md
+ - Implementation:
+ - Overview: en/05-implementation/index.md
+ - Documentation:
+ - Overview: en/05-implementation/01-documentation/index.md
+ - Top 10 Proactive Controls: en/05-implementation/01-documentation/01-proactive-controls.md
+ - Go Secure Coding Practices: en/05-implementation/01-documentation/02-go-scp.md
+ - Cheatsheet Series: en/05-implementation/01-documentation/03-cheatsheets.md
+ - Dependencies:
+ - Overview: en/05-implementation/02-dependencies/index.md
+ - Dependency-Check: en/05-implementation/02-dependencies/01-dependency-check.md
+ - Dependency-Track: en/05-implementation/02-dependencies/02-dependency-track.md
+ - CycloneDX: en/05-implementation/02-dependencies/03-cyclonedx.md
+ - Secure Libraries:
+ - Overview: en/05-implementation/03-secure-libraries/index.md
+ - ESAPI: en/05-implementation/03-secure-libraries/01-esapi.md
+ - CSRFGuard: en/05-implementation/03-secure-libraries/02-csrf-guard.md
+ - OSHP: en/05-implementation/03-secure-libraries/03-secure-headers.md
+ - MASWE: en/05-implementation/04-maswe.md
+ - Verification:
+ - Overview: en/06-verification/index.md
+ - Guides:
+ - Overview: en/06-verification/01-guides/index.md
+ - WSTG: en/06-verification/01-guides/01-wstg.md
+ - MASTG: en/06-verification/01-guides/02-mastg.md
+ - ASVS: en/06-verification/01-guides/03-asvs.md
+ - Tools:
+ - Overview: en/06-verification/02-tools/index.md
+ - DAST tools: en/06-verification/02-tools/01-dast.md
+ - Amass: en/06-verification/02-tools/02-amass.md
+ - OWTF: en/06-verification/02-tools/03-owtf.md
+ - Nettacker: en/06-verification/02-tools/04-nettacker.md
+ - OSHP verification: en/06-verification/02-tools/05-secure-headers.md
+ - Frameworks:
+ - Overview: en/06-verification/03-frameworks/index.md
+ - secureCodeBox: en/06-verification/03-frameworks/01-secure-codebox.md
+ - Vulnerability management:
+ - Overview: en/06-verification/04-vulnerability-management/index.md
+ - DefectDojo: en/06-verification/04-vulnerability-management/01-defectdojo.md
+ - Training and Education:
+ - Overview: en/07-training-education/index.md
+ - Vulnerable Applications:
+ - Overview: en/07-training-education/01-vulnerable-apps/index.md
+ - Juice Shop: en/07-training-education/01-vulnerable-apps/01-juice-shop.md
+ - WebGoat: en/07-training-education/01-vulnerable-apps/02-webgoat.md
+ - PyGoat: en/07-training-education/01-vulnerable-apps/03-pygoat.md
+ - Security Shepherd: en/07-training-education/01-vulnerable-apps/04-security-shepherd.md
+ - Secure Coding Dojo: en/07-training-education/02-secure-coding-dojo.md
+ - SKF: en/07-training-education/03-skf.md
+ - SamuraiWTF: en/07-training-education/04-samurai-wtf.md
+ - OWASP Top 10: en/07-training-education/05-top-ten.md
+ - Mobile Top 10: en/07-training-education/06-mobile-top-ten.md
+ - API Top 10: en/07-training-education/07-api-top-ten.md
+ - WrongSecrets: en/07-training-education/08-wrongsecrets.md
+ - OWASP Snakes and Ladders: en/07-training-education/09-snakes-ladders.md
+ - Culture building and Process maturing:
+ - Overview: en/08-culture-process/index.md
+ - Security Culture: en/08-culture-process/01-security-culture.md
+ - Security Champions:
+ - Overview: en/08-culture-process/02-security-champions/index.md
+ - Security champions program: en/08-culture-process/02-security-champions/01-security-champions-program.md
+ - Security Champions Guide: en/08-culture-process/02-security-champions/02-security-champions-guide.md
+ - Security Champions Playbook: en/08-culture-process/02-security-champions/03-security-champions-playbook.md
+ - SAMM: en/08-culture-process/03-samm.md
+ - ASVS: en/08-culture-process/04-asvs.md
+ - MAS: en/08-culture-process/05-mas.md
+ - Operations:
+ - Overview: en/09-operations/index.md
+ - DevSecOps Guideline: en/09-operations/01-devsecops.md
+ - Coraza WAF: en/09-operations/02-coraza.md
+ - ModSecurity WAF: en/09-operations/03-modsecurity.md
+ - OWASP CRS: en/09-operations/04-crs.md
+ - Metrics:
+ - Overview: en/10-metrics/index.md
+ - Security gap analysis:
+ - Overview: en/11-security-gap-analysis/index.md
+ - Guides:
+ - Overview: en/11-security-gap-analysis/01-guides/index.md
+ - SAMM: en/11-security-gap-analysis/01-guides/01-samm.md
+ - ASVS: en/11-security-gap-analysis/01-guides/02-asvs.md
+ - MAS: en/11-security-gap-analysis/01-guides/03-mas.md
+ - BLT: en/11-security-gap-analysis/02-blt.md
+ - Appendices:
+ - Implementation Do's and Don'ts:
+ - Overview: en/12-appendices/01-implementation-dos-donts/index.md
+ - Container security: en/12-appendices/01-implementation-dos-donts/01-container-security.md
+ - Secure coding: en/12-appendices/01-implementation-dos-donts/02-secure-coding.md
+ - Cryptographic practices: en/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
+ - Application spoofing: en/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
+ - Content Security Policy (CSP): en/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
+ - Exception and error handling: en/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
+ - File management: en/12-appendices/01-implementation-dos-donts/07-file-management.md
+ - Memory management: en/12-appendices/01-implementation-dos-donts/08-memory-management.md
+ - Verification Do's and Don'ts:
+ - Overview: en/12-appendices/02-verification-dos-donts/index.md
+ - Secure environment: en/12-appendices/02-verification-dos-donts/01-secure-environment.md
+ - System hardening: en/12-appendices/02-verification-dos-donts/02-system-hardening.md
+ - Open Source software: en/12-appendices/02-verification-dos-donts/03-open-source-software.md
diff --git a/mkdocs.yaml b/mkdocs.yaml
index b5871df7..e26d2097 100644
--- a/mkdocs.yaml
+++ b/mkdocs.yaml
@@ -13,6 +13,10 @@ theme:
language: en
logo: assets/images/dg_logo_solid.png
favicon: assets/images/favicon.png
+ features:
+ - search.highlight
+ - search.suggest
+ - navigation.tabs
palette:
# Palette toggle for automatic mode
@@ -40,150 +44,242 @@ markdown_extensions:
plugins:
- open-in-new-tab
- - with-pdf: # https://github.com/orzih/mkdocs-with-pdf
- output_path: OWASP_Developer_Guide.pdf
- cover_title: OWASP Developer Guide
- cover_subtitle: A guide to building secure Web Applications and Web Services
- cover_logo: assets/images/dg_logo.png
- author: Open Worldwide Application Security Project (OWASP)
- copyright: Creative Commons Attribution ShareAlike 4.0 International (CC BY-SA 4.0)
+ - search
nav:
- - Introduction: index.md
- - Foundations:
- - Overview: 02-foundations/index.md
- - Security fundamentals: 02-foundations/01-security-fundamentals.md
- - Secure development and integration: 02-foundations/02-secure-development.md
- - Principles of security: 02-foundations/03-security-principles.md
- - Principles of cryptography: 02-foundations/04-crypto-principles.md
- - OWASP Top 10: 02-foundations/05-top-ten.md
- - Requirements:
- - Overview: 03-requirements/index.md
- - Requirements in practice: 03-requirements/01-requirements.md
- - Risk profile: 03-requirements/02-risk.md
- - OpenCRE: 03-requirements/03-opencre.md
- - SecurityRAT: 03-requirements/04-security-rat.md
- - ASVS requirements: 03-requirements/05-asvs.md
- - MAS requirements: 03-requirements/06-mas.md
- - SKF requirements: 03-requirements/07-skf.md
- - Design:
- - Overview: 04-design/index.md
- - Threat modeling:
- - Overview: 04-design/01-threat-modeling/index.md
- - Threat modeling in practice: 04-design/01-threat-modeling/01-threat-modeling.md
- - pytm: 04-design/01-threat-modeling/02-pytm.md
- - Threat Dragon: 04-design/01-threat-modeling/03-threat-dragon.md
- - Cornucopia: 04-design/01-threat-modeling/04-cornucopia.md
- - LINDDUN GO: 04-design/01-threat-modeling/05-linddun-go.md
- - Threat Modeling toolkit: 04-design/01-threat-modeling/06-toolkit.md
- - Web application checklist:
- - Overview: 04-design/02-web-app-checklist/index.md
- - Define Security Requirements: 04-design/02-web-app-checklist/01-define-security-requirements.md
- - Leverage Security Frameworks and Libraries: 04-design/02-web-app-checklist/02-frameworks-libraries.md
- - Secure Database Access: 04-design/02-web-app-checklist/03-secure-database-access.md
- - Encode and Escape Data: 04-design/02-web-app-checklist/04-encode-escape-data.md
- - Validate All Inputs: 04-design/02-web-app-checklist/05-validate-inputs.md
- - Implement Digital Identity: 04-design/02-web-app-checklist/06-digital-identity.md
- - Enforce Access Controls: 04-design/02-web-app-checklist/07-access-controls.md
- - Protect Data Everywhere: 04-design/02-web-app-checklist/08-protect-data.md
- - Implement Security Logging and Monitoring: 04-design/02-web-app-checklist/09-logging-monitoring.md
- - Handle all Errors and Exceptions: 04-design/02-web-app-checklist/10-handle-errors-exceptions.md
- - MAS checklist: 04-design/03-mas-checklist.md
- - Implementation:
- - Overview: 05-implementation/index.md
- - Documentation:
- - Overview: 05-implementation/01-documentation/index.md
- - Top 10 Proactive Controls: 05-implementation/01-documentation/01-proactive-controls.md
- - Go Secure Coding Practices: 05-implementation/01-documentation/02-go-scp.md
- - Cheatsheet Series: 05-implementation/01-documentation/03-cheatsheets.md
- - Dependencies:
- - Overview: 05-implementation/02-dependencies/index.md
- - Dependency-Check: 05-implementation/02-dependencies/01-dependency-check.md
- - Dependency-Track: 05-implementation/02-dependencies/02-dependency-track.md
- - CycloneDX: 05-implementation/02-dependencies/03-cyclonedx.md
- - Secure Libraries:
- - Overview: 05-implementation/03-secure-libraries/index.md
- - ESAPI: 05-implementation/03-secure-libraries/01-esapi.md
- - CSRFGuard: 05-implementation/03-secure-libraries/02-csrf-guard.md
- - OSHP: 05-implementation/03-secure-libraries/03-secure-headers.md
- - MASWE: 05-implementation/04-maswe.md
- - Verification:
- - Overview: 06-verification/index.md
- - Guides:
- - Overview: 06-verification/01-guides/index.md
- - WSTG: 06-verification/01-guides/01-wstg.md
- - MASTG: 06-verification/01-guides/02-mastg.md
- - ASVS: 06-verification/01-guides/03-asvs.md
- - Tools:
- - Overview: 06-verification/02-tools/index.md
- - DAST tools: 06-verification/02-tools/01-dast.md
- - Amass: 06-verification/02-tools/02-amass.md
- - OWTF: 06-verification/02-tools/03-owtf.md
- - Nettacker: 06-verification/02-tools/04-nettacker.md
- - OSHP verification: 06-verification/02-tools/05-secure-headers.md
- - Frameworks:
- - Overview: 06-verification/03-frameworks/index.md
- - secureCodeBox: 06-verification/03-frameworks/01-secure-codebox.md
- - Vulnerability management:
- - Overview: 06-verification/04-vulnerability-management/index.md
- - DefectDojo: 06-verification/04-vulnerability-management/01-defectdojo.md
- - Training and Education:
- - Overview: 07-training-education/index.md
- - Vulnerable Applications:
- - Overview: 07-training-education/01-vulnerable-apps/index.md
- - Juice Shop: 07-training-education/01-vulnerable-apps/01-juice-shop.md
- - WebGoat: 07-training-education/01-vulnerable-apps/02-webgoat.md
- - PyGoat: 07-training-education/01-vulnerable-apps/03-pygoat.md
- - Security Shepherd: 07-training-education/01-vulnerable-apps/04-security-shepherd.md
- - Secure Coding Dojo: 07-training-education/02-secure-coding-dojo.md
- - SKF education: 07-training-education/03-skf.md
- - SamuraiWTF: 07-training-education/04-samurai-wtf.md
- - OWASP Top 10 project: 07-training-education/05-top-ten.md
- - Mobile Top 10: 07-training-education/06-mobile-top-ten.md
- - API Top 10: 07-training-education/07-api-top-ten.md
- - WrongSecrets: 07-training-education/08-wrongsecrets.md
- - OWASP Snakes and Ladders: 07-training-education/09-snakes-ladders.md
- - Culture building and Process maturing:
- - Overview: 08-culture-process/index.md
- - Security Culture: 08-culture-process/01-security-culture.md
- - Security Champions:
- - Overview: 08-culture-process/02-security-champions/index.md
- - Security champions program: 08-culture-process/02-security-champions/01-security-champions-program.md
- - Security Champions Guide: 08-culture-process/02-security-champions/02-security-champions-guide.md
- - Security Champions Playbook: 08-culture-process/02-security-champions/03-security-champions-playbook.md
- - SAMM: 08-culture-process/03-samm.md
- - ASVS: 08-culture-process/04-asvs.md
- - MAS: 08-culture-process/05-mas.md
- - Operations:
- - Overview: 09-operations/index.md
- - DevSecOps Guideline: 09-operations/01-devsecops.md
- - Coraza WAF: 09-operations/02-coraza.md
- - ModSecurity WAF: 09-operations/03-modsecurity.md
- - OWASP CRS: 09-operations/04-crs.md
- - Metrics:
- - Overview: 10-metrics/index.md
- - Security gap analysis:
- - Overview: 11-security-gap-analysis/index.md
- - Guides:
- - Overview: 11-security-gap-analysis/01-guides/index.md
- - SAMM: 11-security-gap-analysis/01-guides/01-samm.md
- - ASVS: 11-security-gap-analysis/01-guides/02-asvs.md
- - MAS: 11-security-gap-analysis/01-guides/03-mas.md
- - BLT: 11-security-gap-analysis/02-blt.md
- - Appendices:
- - Implementation Do's and Don'ts:
- - Overview: 12-appendices/01-implementation-dos-donts/index.md
- - Container security: 12-appendices/01-implementation-dos-donts/01-container-security.md
- - Secure coding: 12-appendices/01-implementation-dos-donts/02-secure-coding.md
- - Cryptographic practices: 12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
- - Application spoofing: 12-appendices/01-implementation-dos-donts/04-application-spoofing.md
- - Content Security Policy (CSP): 12-appendices/01-implementation-dos-donts/05-content-security-policy.md
- - Exception and error handling: 12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
- - File management: 12-appendices/01-implementation-dos-donts/07-file-management.md
- - Memory management: 12-appendices/01-implementation-dos-donts/08-memory-management.md
- - Verification Do's and Don'ts:
- - Overview: 12-appendices/02-verification-dos-donts/index.md
- - Secure environment: 12-appendices/02-verification-dos-donts/01-secure-environment.md
- - System hardening: 12-appendices/02-verification-dos-donts/02-system-hardening.md
- - Open Source software: 12-appendices/02-verification-dos-donts/03-open-source-software.md
-
+ - 'Developer Guide':
+ - Introduction: index.md
+ - Foundations:
+ - Overview: en/02-foundations/index.md
+ - Security fundamentals: en/02-foundations/01-security-fundamentals.md
+ - Secure development and integration: en/02-foundations/02-secure-development.md
+ - Principles of security: en/02-foundations/03-security-principles.md
+ - Principles of cryptography: en/02-foundations/04-crypto-principles.md
+ - OWASP Top 10: en/02-foundations/05-top-ten.md
+ - Requirements:
+ - Overview: en/03-requirements/index.md
+ - Requirements in practice: en/03-requirements/01-requirements.md
+ - Risk profile: en/03-requirements/02-risk.md
+ - OpenCRE: en/03-requirements/03-opencre.md
+ - SecurityRAT: en/03-requirements/04-security-rat.md
+ - ASVS: en/03-requirements/05-asvs.md
+ - MAS: en/03-requirements/06-mas.md
+ - SKF: en/03-requirements/07-skf.md
+ - Design:
+ - Overview: en/04-design/index.md
+ - Threat modeling:
+ - Overview: en/04-design/01-threat-modeling/index.md
+ - Threat modeling in practice: en/04-design/01-threat-modeling/01-threat-modeling.md
+ - pytm: en/04-design/01-threat-modeling/02-pytm.md
+ - Threat Dragon: en/04-design/01-threat-modeling/03-threat-dragon.md
+ - Cornucopia: en/04-design/01-threat-modeling/04-cornucopia.md
+ - LINDDUN GO: en/04-design/01-threat-modeling/05-linddun-go.md
+ - Threat Modeling toolkit: en/04-design/01-threat-modeling/06-toolkit.md
+ - Web application checklist:
+ - Overview: en/04-design/02-web-app-checklist/index.md
+ - Secure by Default: en/04-design/02-web-app-checklist/01-secure-by-default.md
+ - Leverage Security Frameworks and Libraries: en/04-design/02-web-app-checklist/02-frameworks-libraries.md
+ - Secure Database Access: en/04-design/02-web-app-checklist/03-secure-database-access.md
+ - Encode and Escape Data: en/04-design/02-web-app-checklist/04-encode-escape-data.md
+ - Validate All Inputs: en/04-design/02-web-app-checklist/05-validate-inputs.md
+ - Implement Digital Identity: en/04-design/02-web-app-checklist/06-digital-identity.md
+ - Enforce Access Controls: en/04-design/02-web-app-checklist/07-access-controls.md
+ - Protect Data Everywhere: en/04-design/02-web-app-checklist/08-protect-data.md
+ - Implement Security Logging and Monitoring: en/04-design/02-web-app-checklist/09-logging-monitoring.md
+ - Handle all Errors and Exceptions: en/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
+ - MAS checklist: en/04-design/03-mas-checklist.md
+ - Implementation:
+ - Overview: en/05-implementation/index.md
+ - Documentation:
+ - Overview: en/05-implementation/01-documentation/index.md
+ - Top 10 Proactive Controls: en/05-implementation/01-documentation/01-proactive-controls.md
+ - Go Secure Coding Practices: en/05-implementation/01-documentation/02-go-scp.md
+ - Cheatsheet Series: en/05-implementation/01-documentation/03-cheatsheets.md
+ - Dependencies:
+ - Overview: en/05-implementation/02-dependencies/index.md
+ - Dependency-Check: en/05-implementation/02-dependencies/01-dependency-check.md
+ - Dependency-Track: en/05-implementation/02-dependencies/02-dependency-track.md
+ - CycloneDX: en/05-implementation/02-dependencies/03-cyclonedx.md
+ - Secure Libraries:
+ - Overview: en/05-implementation/03-secure-libraries/index.md
+ - ESAPI: en/05-implementation/03-secure-libraries/01-esapi.md
+ - CSRFGuard: en/05-implementation/03-secure-libraries/02-csrf-guard.md
+ - OSHP: en/05-implementation/03-secure-libraries/03-secure-headers.md
+ - MASWE: en/05-implementation/04-maswe.md
+ - Verification:
+ - Overview: en/06-verification/index.md
+ - Guides:
+ - Overview: en/06-verification/01-guides/index.md
+ - WSTG: en/06-verification/01-guides/01-wstg.md
+ - MASTG: en/06-verification/01-guides/02-mastg.md
+ - ASVS: en/06-verification/01-guides/03-asvs.md
+ - Tools:
+ - Overview: en/06-verification/02-tools/index.md
+ - DAST tools: en/06-verification/02-tools/01-dast.md
+ - Amass: en/06-verification/02-tools/02-amass.md
+ - OWTF: en/06-verification/02-tools/03-owtf.md
+ - Nettacker: en/06-verification/02-tools/04-nettacker.md
+ - OSHP verification: en/06-verification/02-tools/05-secure-headers.md
+ - Frameworks:
+ - Overview: en/06-verification/03-frameworks/index.md
+ - secureCodeBox: en/06-verification/03-frameworks/01-secure-codebox.md
+ - Vulnerability management:
+ - Overview: en/06-verification/04-vulnerability-management/index.md
+ - DefectDojo: en/06-verification/04-vulnerability-management/01-defectdojo.md
+ - Training and Education:
+ - Overview: en/07-training-education/index.md
+ - Vulnerable Applications:
+ - Overview: en/07-training-education/01-vulnerable-apps/index.md
+ - Juice Shop: en/07-training-education/01-vulnerable-apps/01-juice-shop.md
+ - WebGoat: en/07-training-education/01-vulnerable-apps/02-webgoat.md
+ - PyGoat: en/07-training-education/01-vulnerable-apps/03-pygoat.md
+ - Security Shepherd: en/07-training-education/01-vulnerable-apps/04-security-shepherd.md
+ - Secure Coding Dojo: en/07-training-education/02-secure-coding-dojo.md
+ - SKF: en/07-training-education/03-skf.md
+ - SamuraiWTF: en/07-training-education/04-samurai-wtf.md
+ - OWASP Top 10: en/07-training-education/05-top-ten.md
+ - Mobile Top 10: en/07-training-education/06-mobile-top-ten.md
+ - API Top 10: en/07-training-education/07-api-top-ten.md
+ - WrongSecrets: en/07-training-education/08-wrongsecrets.md
+ - OWASP Snakes and Ladders: en/07-training-education/09-snakes-ladders.md
+ - Culture building and Process maturing:
+ - Overview: en/08-culture-process/index.md
+ - Security Culture: en/08-culture-process/01-security-culture.md
+ - Security Champions:
+ - Overview: en/08-culture-process/02-security-champions/index.md
+ - Security champions program: en/08-culture-process/02-security-champions/01-security-champions-program.md
+ - Security Champions Guide: en/08-culture-process/02-security-champions/02-security-champions-guide.md
+ - Security Champions Playbook: en/08-culture-process/02-security-champions/03-security-champions-playbook.md
+ - SAMM: en/08-culture-process/03-samm.md
+ - ASVS: en/08-culture-process/04-asvs.md
+ - MAS: en/08-culture-process/05-mas.md
+ - Operations:
+ - Overview: en/09-operations/index.md
+ - DevSecOps Guideline: en/09-operations/01-devsecops.md
+ - Coraza WAF: en/09-operations/02-coraza.md
+ - ModSecurity WAF: en/09-operations/03-modsecurity.md
+ - OWASP CRS: en/09-operations/04-crs.md
+ - Metrics:
+ - Overview: en/10-metrics/index.md
+ - Security gap analysis:
+ - Overview: en/11-security-gap-analysis/index.md
+ - Guides:
+ - Overview: en/11-security-gap-analysis/01-guides/index.md
+ - SAMM: en/11-security-gap-analysis/01-guides/01-samm.md
+ - ASVS: en/11-security-gap-analysis/01-guides/02-asvs.md
+ - MAS: en/11-security-gap-analysis/01-guides/03-mas.md
+ - BLT: en/11-security-gap-analysis/02-blt.md
+ - Appendices:
+ - Implementation Do's and Don'ts:
+ - Overview: en/12-appendices/01-implementation-dos-donts/index.md
+ - Container security: en/12-appendices/01-implementation-dos-donts/01-container-security.md
+ - Secure coding: en/12-appendices/01-implementation-dos-donts/02-secure-coding.md
+ - Cryptographic practices: en/12-appendices/01-implementation-dos-donts/03-cryptographic-practices.md
+ - Application spoofing: en/12-appendices/01-implementation-dos-donts/04-application-spoofing.md
+ - Content Security Policy (CSP): en/12-appendices/01-implementation-dos-donts/05-content-security-policy.md
+ - Exception and error handling: en/12-appendices/01-implementation-dos-donts/06-exception-error-handling.md
+ - File management: en/12-appendices/01-implementation-dos-donts/07-file-management.md
+ - Memory management: en/12-appendices/01-implementation-dos-donts/08-memory-management.md
+ - Verification Do's and Don'ts:
+ - Overview: en/12-appendices/02-verification-dos-donts/index.md
+ - Secure environment: en/12-appendices/02-verification-dos-donts/01-secure-environment.md
+ - System hardening: en/12-appendices/02-verification-dos-donts/02-system-hardening.md
+ - Open Source software: en/12-appendices/02-verification-dos-donts/03-open-source-software.md
+ - 'Guía del Desarrollador':
+ - Introducción: es/index.md
+ - Fundamentos:
+ - Descripción: es/02-foundations/index.md
+ - Fundamentos de seguridad: es/02-foundations/01-security-fundamentals.md
+ - Desarrollo e integración segura: es/02-foundations/02-secure-development.md
+ - Principios de seguridad: es/02-foundations/03-security-principles.md
+ - Principios de criptografía: es/02-foundations/04-crypto-principles.md
+ - OWASP Top 10: es/02-foundations/05-top-ten.md
+ - Requisitos:
+ - Descripción: es/03-requirements/index.md
+ - Requisitos en la práctica: es/03-requirements/01-requirements.md
+ - Perfil de riesgo: es/03-requirements/02-risk.md
+ - OpenCRE: es/03-requirements/03-opencre.md
+ - SecurityRAT: es/03-requirements/04-security-rat.md
+ - ASVS: es/03-requirements/05-asvs.md
+ - MAS: es/03-requirements/06-mas.md
+ - SKF: es/03-requirements/07-skf.md
+ - Diseño:
+ - Descripción: es/04-design/index.md
+ - Modelado de amenazas:
+ - Descripción: es/04-design/01-threat-modeling/index.md
+ - Modelado de amenazas en la práctica: es/04-design/01-threat-modeling/01-threat-modeling.md
+ - pytm: es/04-design/01-threat-modeling/02-pytm.md
+ - Threat Dragon: es/04-design/01-threat-modeling/03-threat-dragon.md
+ - Cornucopia: es/04-design/01-threat-modeling/04-cornucopia.md
+ - LINDDUN GO: es/04-design/01-threat-modeling/05-linddun-go.md
+ - Threat Modeling toolkit: es/04-design/01-threat-modeling/06-toolkit.md
+ - Lista de verificación para aplicaciones web:
+ - Descripción: es/04-design/02-web-app-checklist/index.md
+ - Definir Requisitos de Seguridad: es/04-design/02-web-app-checklist/01-define-security-requirements.md
+ - Aprovechar Marcos y Bibliotecas de Seguridad: es/04-design/02-web-app-checklist/02-frameworks-libraries.md
+ - Acceso Seguro a Bases de Datos: es/04-design/02-web-app-checklist/03-secure-database-access.md
+ - Codificar y Escapar Datos: es/04-design/02-web-app-checklist/04-encode-escape-data.md
+ - Validar Todas las Entradas: es/04-design/02-web-app-checklist/05-validate-inputs.md
+ - Implementar Identidad Digital: es/04-design/02-web-app-checklist/06-digital-identity.md
+ - Aplicar Controles de Acceso: es/04-design/02-web-app-checklist/07-access-controls.md
+ - Proteger Datos en Todas Partes: es/04-design/02-web-app-checklist/08-protect-data.md
+ - Implementar Registro y Monitoreo de Seguridad: es/04-design/02-web-app-checklist/09-logging-monitoring.md
+ - Manejar todos los Errores y Excepciones: es/04-design/02-web-app-checklist/10-handle-errors-exceptions.md
+ - Lista de verificación MAS: es/04-design/03-mas-checklist.md
+ - Implementación:
+ - Descripción: es/05-implementation/index.md
+ - Documentation:
+ - Descripción: es/05-implementation/01-documentation/index.md
+ - Top 10 Proactive Controls: es/05-implementation/01-documentation/01-proactive-controls.md
+ - Go Secure Coding Practices: es/05-implementation/01-documentation/02-go-scp.md
+ - Cheatsheet Series: es/05-implementation/01-documentation/03-cheatsheets.md
+ - Dependencias:
+ - Descripción: es/05-implementation/02-dependencies/index.md
+ - Dependency-Check: es/05-implementation/02-dependencies/01-dependency-check.md
+ - Dependency-Track: es/05-implementation/02-dependencies/02-dependency-track.md
+ - CycloneDX: es/05-implementation/02-dependencies/03-cyclonedx.md
+ - Bibliotecas seguras:
+ - Descripción: es/05-implementation/03-secure-libraries/index.md
+ - ESAPI: es/05-implementation/03-secure-libraries/01-esapi.md
+ - CSRFGuard: es/05-implementation/03-secure-libraries/02-csrf-guard.md
+ - OSHP: es/05-implementation/03-secure-libraries/03-secure-headers.md
+ - MASWE: es/05-implementation/04-maswe.md
+ - Verificación:
+ - Descripción: es/06-verification/index.md
+ - Guías:
+ - Descripción: es/06-verification/01-guides/index.md
+ - WSTG: es/06-verification/01-guides/01-wstg.md
+ - MASTG: es/06-verification/01-guides/02-mastg.md
+ - ASVS: es/06-verification/01-guides/03-asvs.md
+ - Herramientas:
+ - Descripción: es/06-verification/02-tools/index.md
+ - DAST tools: es/06-verification/02-tools/01-dast.md
+ - Amass: es/06-verification/02-tools/02-amass.md
+ - OWTF: es/06-verification/02-tools/03-owtf.md
+ - Nettacker: es/06-verification/02-tools/04-nettacker.md
+ - OSHP verification: es/06-verification/02-tools/05-secure-headers.md
+ - Marcos de verificación:
+ - Descripción: es/06-verification/03-frameworks/index.md
+ - secureCodeBox: es/06-verification/03-frameworks/01-secure-codebox.md
+ - Gestión de vulnerabilidades:
+ - Descripción: es/06-verification/04-vulnerability-management/index.md
+ - DefectDojo: es/06-verification/04-vulnerability-management/01-defectdojo.md
+ - 'راهنمای فارسی':
+ - Introduction: fa/index.md
+ - Foundations:
+ - Overview: fa/02-foundations/index.md
+ - Security fundamentals: fa/02-foundations/01-security-fundamentals.md
+ - Secure development and integration: fa/02-foundations/02-secure-development.md
+ - Principles of security: fa/02-foundations/03-security-principles.md
+ - Principles of cryptography: fa/02-foundations/04-crypto-principles.md
+ - OWASP Top 10: fa/02-foundations/05-top-ten.md
+ - 'Guia de Desenvolvimento':
+ - Introdução: pt-br/index.md
+ - Fundamentos:
+ - Introdução: pt-br/02-foundations/index.md
+ - Fundamentos de segurança: pt-br/02-foundations/01-security-fundamentals.md
+ - OWASP Top Dez: pt-br/02-foundations/05-top-ten.md
+ - 'Get involved':
+ - Providing content: contributing.md
+ - Code of Conduct: code_of_conduct.md
+ - License: license.txt
diff --git a/release-process.md b/release-process.md
index d1932bb5..6470f26b 100644
--- a/release-process.md
+++ b/release-process.md
@@ -26,7 +26,7 @@ The [PDF][pdf-guide] version of the [web document][devguide] can be downloaded f
[devguide]: devguide.owasp.org
[leaders]: https://github.com/OWASP/www-project-developer-guide/blob/main/leaders.md
-[pdf-guide]: https://github.com/OWASP/threat-dragon/releases/download/v4.1.8/OWASP_Developer_Guide-V4.1.8.pdf
+[pdf-guide]: https://github.com/OWASP/DevGuide/releases/download/vx.x.x/OWASP_Developer_Guide-Vx.x.x.pdf
```
----