ASVS安全应用评估标准是一项社区驱动的工作,旨在建立一个安全要求和控制的框架,在设计、开发和测试现代网络应用程序 和网络服务时,定义所需要的功能和非功能性的安全控制措施。
《OWASP Top 10 2017》是避免疏忽的最低要求
ASVS 有两个主要目标:
• 帮助组织开发和维护安全的应用程序。
• 允许安全服务厂商、安全工具供应商和消费者调整他们的要求和产品。
地址:GitHub - OWASP/ASVS at v4.0.3
本文内容摘抄自4.0.3标准 终版为2021年10月,有专门的中文翻译版本。
应用安全验证级别
应
用程序安全
验证标
准(
ASVS
)定
义
了三个安全
验证级别
,每个
级别
的深度都在增加。
•
ASVS Level 1
适用于低保
证级别
,可通
过
渗透
测试验证。 在
4.0
版本中,我
们
决定
让
L1
完全可渗透
测试
,而无需
访问
源代
码
、文档或开
发
人
员
•
ASVS Level 2
适用于包含敏感数据的
应
用程序(需要保
护
),是大多数
应
用程序的推荐
级别
。
•
ASVS Level 3
适用于最关
键
的
应
用程序:
执
行高价
值
交易、包含敏感医
疗
数据的
应
用程序,或任何 需要最高级别
信任的
应
用程序。
执
行
L2
或
L3
评
估
时
,需要
访问
开
发
人
员
、文档、代
码
,以及
访问
具有非生
产
数据的
测试应
用程序。 在
这
些
级别进
行的渗透
测试
,需要
这
种
级别
的
访问
,我
们
称之
为
“
混合
审查
”
或
“
混合 渗透测试
”
。
每个
ASVS
级别
都包含一个安全要求的列表。其中的每一
项
,都可以
对应
到开
发
人
员
必
须
在
软
件中建立
的特定安全特性和功能。
如何使用这个标准
使用
应
用程序安全
验证标
准(
ASVS
)的最佳方法之一,是将其作
为
一个
蓝图
,
创
建一个
针对
您的
应
用程
序、平台或
组织
的安全
编码检查
表。 建
议
您根据不同的
项
目
场
景,
针对
其中最重要的安全要求,在定
制的
ASVS
中增加关注。
Level 1 -
第一步,自
动
化,或全景
图
Level 2 -
大多数
应
用程序
Level 3 -
高价
值
、高保
证
或高安全性
ASVS Level 3
,是
ASVS
内的最高
级别验证
。
这
个
级别
通常保留
给
需要大量安全
验证
的
应
用,例如
军
事、 健康、安全和关键
基
础设
施等
领
域的
应
用。
评估和认证
- 认证组织必须在任何报告中包括验证的范围(特别是某个关键组件不在范围内时,如 SSO 身份 验证)、验证结果的摘要,包括通过的和未通过的测试,并清楚地说明如何解决未通过的测试
- 某些验证要求可能不适用于被测试的应用程序
- 保留详细的工作底稿、屏幕截图或视频、可靠地重复利用一个问题的脚本,以及测试的电子记录,如拦 截代理日志和相关的笔记(如清理清单)
- 测试方法 认证机构可自由选择适当的测试方法,但应在报告中注明
-
鼓励使用自 动 化渗透 测试 工具以提供尽可能多的覆盖范 围 。
标准列表
V1
架构、
设计
和威
胁
建模
V1.1
安全
软
件开
发
生命周期
V1.2
认证
架构
V1.3
会
话
管理架构
V1.4
访问
控制架构
V1.5
输
入和
输
出架构
V1.6
加密架构
V1.7
错误
、日志和
审计
架构
V1.8
数据保
护
和
隐
私架构
V1.9
通信架构
V1.10
恶
意
软
件架构
V1.11
业务逻辑
架构
V1.12
安全上
传
架构
V2
认证