OWASP应用安全验证标准 |OWASP基金会
ASVS安全应用评估标准是一项社区驱动的工作,旨在建立一个安全要求和控制的框架,在设计、开发和测试现代网络应用程序 和网络服务时,定义所需要的功能和非功能性的安全控制措施。
《OWASP Top 10 2017》是避免疏忽的最低要求
ASVS 有两个主要目标:
• 帮助组织开发和维护安全的应用程序。
• 允许安全服务厂商、安全工具供应商和消费者调整他们的要求和产品。
地址:GitHub - OWASP/ASVS at v4.0.3
本文内容摘抄自4.0.3标准 终版为2021年10月,有专门的中文翻译版本。
应用安全验证级别
应 用程序安全 验证标 准( ASVS )定 义 了三个安全 验证级别 ,每个 级别 的深度都在增加。
•
ASVS Level 1 适用于低保 证级别 ,可通 过 渗透 测试验证。 在 4.0 版本中,我 们 决定 让 L1 完全可渗透 测试 ,而无需 访问 源代 码 、文档或开 发 人 员
•
ASVS Level 2 适用于包含敏感数据的 应 用程序(需要保 护 ),是大多数 应 用程序的推荐 级别 。
•
ASVS Level 3 适用于最关 键 的 应 用程序: 执 行高价 值 交易、包含敏感医 疗 数据的 应 用程序,或任何 需要最高级别 信任的 应 用程序。
执 行 L2 或 L3 评 估 时 ,需要 访问 开 发 人 员 、文档、代 码 ,以及 访问 具有非生 产 数据的
测试应 用程序。 在 这 些 级别进 行的渗透 测试 ,需要 这 种 级别 的 访问 ,我 们 称之 为 “ 混合 审查 ” 或 “ 混合 渗透测试 ” 。
每个 ASVS 级别 都包含一个安全要求的列表。其中的每一 项 ,都可以 对应 到开 发 人 员 必 须 在 软 件中建立
的特定安全特性和功能。
如何使用这个标准
使用 应 用程序安全 验证标 准( ASVS )的最佳方法之一,是将其作 为 一个 蓝图 , 创 建一个 针对 您的 应 用程
序、平台或 组织 的安全 编码检查 表。 建 议 您根据不同的 项 目 场 景, 针对 其中最重要的安全要求,在定
制的 ASVS 中增加关注。
Level 1 - 第一步,自 动 化,或全景 图
Level 2 - 大多数 应 用程序
Level 3 - 高价 值 、高保 证 或高安全性
ASVS Level 3 ,是 ASVS 内的最高 级别验证 。 这 个 级别 通常保留 给 需要大量安全 验证 的 应 用,例如 军 事、 健康、安全和关键 基 础设 施等 领 域的 应 用。
评估和认证
- 认证组织必须在任何报告中包括验证的范围(特别是某个关键组件不在范围内时,如 SSO 身份 验证)、验证结果的摘要,包括通过的和未通过的测试,并清楚地说明如何解决未通过的测试
- 某些验证要求可能不适用于被测试的应用程序
- 保留详细的工作底稿、屏幕截图或视频、可靠地重复利用一个问题的脚本,以及测试的电子记录,如拦 截代理日志和相关的笔记(如清理清单)
- 测试方法 认证机构可自由选择适当的测试方法,但应在报告中注明
- 鼓励使用自 动 化渗透 测试 工具以提供尽可能多的覆盖范 围 。
标准列表
V1 架构、 设计 和威 胁 建模
V1.1 安全 软 件开 发 生命周期
V1.2 认证 架构
V1.3 会 话 管理架构
V1.4 访问 控制架构
V1.5 输 入和 输 出架构
V1.6 加密架构
V1.7 错误 、日志和 审计 架构
V1.8 数据保 护 和 隐 私架构
V1.9 通信架构
V1.10 恶 意 软 件架构
V1.11 业务逻辑 架构
V1.12 安全上 传 架构
V2 认证
