الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

معيار التحقق من أمان تطبيق OWASP

تم ترخيص هذا العمل بموجب ترخيص Creative Commons Attribution-ShareAlike 4.0 الدولي.

مقدمة

الهدف الأساسي لمشروع معيار التحقق من أمان التطبيقات (ASVS) لـ OWASP هو توفير معيار أمان للتطبيقات المفتوحة لتطبيقات الويب وخدمات الويب بجميع أنواعها.

يوفر المعيار أساسًا لتصميم وبناء واختبار ضوابط أمان التطبيقات الفنية، بما في ذلك الاهتمامات المعمارية ودورة حياة التطوير الآمنة ونمذجة التهديدات والأمن السريع بما في ذلك التكامل / النشر المستمر والمخاوف بدون خادم والتكوين.

نحن نقدر بامتنان المنظمات التي دعمت المشروع إما من خلال توفير وقت كبير أو ماليًا على صفحة "الداعمين" الخاصة بنا!

يرجى تسجيل المشكلات إذا وجدت أي أخطاء أو إذا كانت لديك أفكار. قد نطلب منك لاحقًا فتح طلب سحب بناءً على المناقشة حول هذه المشكلة. نحن نبحث أيضًا بنشاط عن ترجمات للفرع 4.n.

قادة المشروع وفريق العمل

يقود المشروع قادة المشروع الأربعة دانييل كوثبرت، وجيم مانيكو، وجوش غروسمان، وإيلار لانغ.

يتم دعمهم من قبل مجموعة عمل ASVS التي تتكون من شاني بروتشي، ورالف أنداليس، وميغان جاكوت، وإيمان شرفالدين، وريان أرمسترونج.

خريطة الطريق إلى ASVS 5.0

لقد قمنا الآن بنشر خريطة الطريق والأهداف الخاصة بنا للإصدار 5.0 من ASVS في صفحة wiki هذه.

أحدث إصدار مستقر - 4.0.3

أحدث إصدار ثابت هو الإصدار 4.0.3 (بتاريخ أكتوبر 2021)، والذي يمكن العثور عليه:

  • معيار التحقق من أمان تطبيق OWASP 4.0.3 باللغة الإنجليزية (PDF)
  • معيار التحقق من أمان تطبيق OWASP 4.0.3 الإنجليزية (Word)
  • معيار التحقق من أمان تطبيق OWASP 4.0.3 باللغة الإنجليزية (CSV)
  • معيار التحقق من أمان تطبيق OWASP 4.0.3 (علامة GitHub)

سيكون الفرع الرئيسي لهذا المستودع دائمًا هو "إصدار الحافة" الذي قد يحتوي على تغييرات قيد التقدم أو تعديلات أخرى مفتوحة. سيكون هدف الإصدار التالي هو الإصدار 5.0 .

للحصول على معلومات حول التغييرات بين 4.0.2 و4.0.3 للمعيار، راجع صفحة wiki هذه وللحصول على الفرق الكامل، راجع طلب السحب هذا.

ترجمات

إن جهد مجتمع OWASP فيما يتعلق بالترجمات هو أفضل جهد. بينما نبذل قصارى جهدنا لضمان صحة المحتوى، من منظور هيكلي، ليس هناك الكثير الذي يمكننا القيام به لضمان صحة الترجمات. نحن نعتمد عليك، أيها المجتمع، للمساعدة في جعل ASVS قابلاً للاستخدام قدر الإمكان في جميع أنحاء العالم، كما أن ترجمة الفرع الرئيسي إلى لغتك أمر مهم للمشروع.

إذا كنت تعتقد أنه يمكنك المساعدة في الترجمات، أو التأكد من صحة القائمة الحالية للترجمات أدناه، فنحن نود أن تنضم إلى المجتمع وتجعل ASVS رائعًا للجميع. لمزيد من المعلومات حول ترجمة ASVS، راجع قسم الترجمات في CONTRIBUTING.md.

  • v4.0.3
    • معيار التحقق من أمان تطبيق OWASP 4.0.3 باللغة الإسبانية (PDF) وتنسيقات أخرى. (شكرًا لكارلوس اللينديز وهانس هيريرا)
    • معيار التحقق من أمان تطبيق OWASP 4.0.3 اللغة الصينية المبسطة (PDF) والتنسيقات الأخرى. (بفضل Unc1e)
    • معيار التحقق من أمان تطبيق OWASP 4.0.3 باللغة العربية (PDF) وتنسيقات أخرى. (شكرًا لعارف شهيد ومحمد غسان الحبش)
    • معيار التحقق من أمان تطبيق OWASP 4.0.3 باللغة الروسية (PDF) وتنسيقات أخرى. (شكرًا لأندريه تيتوف)
    • معيار التحقق من أمان تطبيق OWASP 4.0.3 الفرنسي (PDF) والتنسيقات الأخرى. (شكرًا لسيدريك لالير، وألكسندر جولي، وسيباستيان جيوريا، ومارك أوبري)
    • معيار التحقق من أمان تطبيق OWASP 4.0.3 باللغة الألمانية (PDF) وتنسيقات أخرى. (شكرًا ليورغ برونر)
    • معيار التحقق من أمان تطبيق OWASP 4.0.3 البرتغالي (PDF) والتنسيقات الأخرى. (شكرًا لسيزار كول)
    • معيار التحقق من أمان تطبيق OWASP 4.0.3 الإيطالي (PDF) وتنسيقات أخرى. (شكرًا لريكاردو سيريجو)
  • v4.0.2
    • معيار التحقق من أمان تطبيق OWASP 4.0.2 باللغة الألمانية (PDF) وتنسيق Microsoft Word. (شكرًا ليورغ برونر)
    • معيار التحقق من أمان تطبيق OWASP 4.0.2 باللغة الروسية (PDF) وتنسيق Microsoft Word. (شكرًا لسيرجي دياكونوف)
  • v4.0.1
    • معيار التحقق من أمان تطبيق OWASP 4.0.1 باللغة الفارسية (PDF) (بفضل فريق CERT من جامعة فردوسي في مشهد / أردالان فروغيبور)
    • معيار التحقق من أمان تطبيق OWASP 4.0.1 باللغة اليابانية (PDF) (بفضل برنامج ISAC Japan / Riotaro OKADA)
    • معيار التحقق من أمان تطبيق OWASP 4.0.1 باللغة التركية (PDF) (بفضل فاتح إرسيناديم)

الأهداف القياسية

تم تطوير المتطلبات مع أخذ الأهداف التالية في الاعتبار:

  • مساعدة المؤسسات على تبني أو تكييف معيار ترميز آمن عالي الجودة
  • ساعد المهندسين المعماريين والمطورين على إنشاء برامج آمنة من خلال تصميم وبناء الأمان والتحقق من وجودها وفعاليتها من خلال استخدام اختبارات الوحدة والتكامل التي تنفذ اختبارات ASVS
  • ساعد في نشر البرامج الآمنة من خلال استخدام إصدارات آمنة وقابلة للتكرار
  • ساعد مراجعي الأمان على استخدام معيار شامل ومتسق وعالي الجودة لمراجعات التعليمات البرمجية المختلطة، ومراجعات التعليمات البرمجية الآمنة، ومراجعات التعليمات البرمجية النظيرة، والأثر الاسترجاعي، والعمل مع المطورين لبناء وحدة الأمان واختبارات التكامل. من الممكن أيضًا استخدام هذا المعيار لاختبار الاختراق في المستوى 1
  • قم بمساعدة بائعي الأدوات من خلال التأكد من وجود إصدار قابل للقراءة آليًا ويمكن إنشاؤه بسهولة، مع تعيينات CWE
  • مساعدة المؤسسات على قياس أدوات أمان التطبيقات من خلال النسبة المئوية لتغطية ASVS لأدوات التحليل الديناميكية والتفاعلية والثابتة
  • تقليل المتطلبات المتداخلة والمتنافسة من المعايير الأخرى، إما عن طريق التوافق بقوة معها (NIST 800-63)، أو كونها مجموعات شاملة صارمة (OWASP Top 10 2021، PCI DSS 3.2.1)، مما سيساعد في تقليل تكاليف الامتثال والجهد والوقت يهدر في قبول الاختلافات غير الضرورية كمخاطر.

تتوفر قوائم متطلبات ASVS بتنسيق CSV وJSON وتنسيقات أخرى قد تكون مفيدة كمرجع أو للاستخدام البرمجي.

كيفية الرجوع إلى متطلبات ASVS

كل متطلب له معرف بالتنسيق <chapter>.<section>.<requirement> حيث يكون كل عنصر رقمًا، على سبيل المثال: 1.11.3 :

  • قيمة <chapter> تتوافق مع الفصل الذي يأتي منه المتطلب، على سبيل المثال: جميع متطلبات 1.#.# هي من فصل Architecture .
  • تتوافق قيمة <section> مع القسم الموجود داخل هذا الفصل الذي يظهر فيه المتطلبات، على سبيل المثال: جميع متطلبات 1.11.# موجودة في قسم Business Logic Architecture في فصل Architecture .
  • تحدد قيمة <requirement> المتطلبات المحددة داخل الفصل والقسم، على سبيل المثال: 1.11.3 والذي اعتبارًا من الإصدار 4.0.3 من هذا المعيار هو:

تحقق من أن جميع تدفقات منطق الأعمال عالية القيمة، بما في ذلك المصادقة وإدارة الجلسة والتحكم في الوصول، آمنة للسلسلة ومقاومة لظروف سباق وقت الفحص ووقت الاستخدام.

قد تتغير المعرفات بين إصدارات المعيار، لذلك يفضل أن تستخدم المستندات أو التقارير أو الأدوات الأخرى التنسيق: v<version>-<chapter>.<section>.<requirement> ، حيث: 'version' هو ASVS علامة الإصدار. على سبيل المثال: v4.0.3-1.11.3 يمكن فهمه على أنه يعني على وجه التحديد المتطلب الثالث في قسم "هندسة منطق الأعمال" في فصل "الهندسة المعمارية" من الإصدار 4.0.3. (يمكن تلخيص ذلك كـ v<version>-<requirement_identifier> .)

ملاحظة: الحرف v الذي يسبق جزء الإصدار يجب أن يكون صغيرًا.

إذا تم استخدام المعرفات دون تضمين العنصر v<version> ، فيجب افتراض أنها تشير إلى أحدث محتوى لمعيار التحقق من أمان التطبيق. من الواضح أنه مع نمو المعيار وتغيره، يصبح هذا مشكلة، ولهذا السبب يجب على الكتاب أو المطورين تضمين عنصر الإصدار.

رخصة

محتوى المشروع بالكامل موجود تحت رخصة المشاع الإبداعي Attribution-Share Alike v4.0 .

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل