ASVS

Dieses Werk ist unter der Creative Commons Attribution-ShareAlike 4.0 International License lizenziert.

Das Hauptziel des OWASP Application Security Verification Standard (ASVS)-Projekts besteht darin, einen offenen Anwendungssicherheitsstandard für Web-Apps und Webdienste aller Art bereitzustellen.

Der Standard bietet eine Grundlage für das Entwerfen, Erstellen und Testen technischer Anwendungssicherheitskontrollen, einschließlich architektonischer Aspekte, sicherer Entwicklungslebenszyklen, Bedrohungsmodellierung, agiler Sicherheit einschließlich kontinuierlicher Integration/Bereitstellung, Serverlosigkeit und Konfigurationsaspekten.

Auf unserer Seite „Unterstützer“ würdigen wir dankbar die Organisationen, die das Projekt entweder durch erhebliche zeitliche Bereitstellung oder finanziell unterstützt haben!

Bitte protokollieren Sie Probleme, wenn Sie Fehler finden oder Ideen haben. Möglicherweise bitten wir Sie anschließend, eine Pull-Anfrage basierend auf der Diskussion in der Ausgabe zu öffnen. Wir sind auch aktiv auf der Suche nach Übersetzungen des 4.n-Zweigs.

Das Projekt wird von den vier Projektleitern Daniel Cuthbert, Jim Manico, Josh Grossman und Elar Lang geleitet.

Sie werden von der ASVS-Arbeitsgruppe unterstützt, die aus Shanni Prutchi, Ralph Andalis, Meghan Jacquot, Iman Sharafaldin und Ryan Armstrong besteht.

Wir haben jetzt unsere Roadmap und Ziele für Version 5.0 des ASVS auf dieser Wiki-Seite veröffentlicht.

Die neueste stabile Version ist Version 4.0.3 (vom Oktober 2021), die zu finden ist:

• OWASP Application Security Verification Standard 4.0.3 Englisch (PDF)
• OWASP Application Security Verification Standard 4.0.3 Englisch (Word)
• OWASP Application Security Verification Standard 4.0.3 Englisch (CSV)
• OWASP Application Security Verification Standard 4.0.3 (GitHub-Tag)

Der Master-Zweig dieses Repositorys wird immer die „Bleeding-Edge-Version“ sein, in der möglicherweise laufende Änderungen oder andere Bearbeitungen offen sind. Das nächste Release-Ziel wird Version 5.0 sein.

Informationen zu Änderungen zwischen 4.0.2 und 4.0.3 des Standards finden Sie auf dieser Wiki-Seite und einen vollständigen Diff finden Sie in dieser Pull-Anfrage.

Die Bemühungen der OWASP-Community in Bezug auf Übersetzungen sind die beste Leistung. Während wir unser Möglichstes tun, um sicherzustellen, dass der Inhalt gültig ist, können wir aus struktureller Sicht nur bis zu einem gewissen Grad tun, um sicherzustellen, dass die Übersetzungen korrekt sind. Wir verlassen uns darauf, dass Sie, die Community, dabei helfen, das ASVS für die ganze Welt so nutzbar wie möglich zu machen, und die Übersetzung des Hauptzweigs in Ihre Sprache ist für das Projekt wichtig.

Wenn Sie der Meinung sind, dass Sie bei Übersetzungen helfen oder tatsächlich sicherstellen können, dass die aktuelle Liste der Übersetzungen unten korrekt ist, würden wir uns freuen, wenn Sie der Community beitreten und das ASVS für alle großartig machen. Weitere Informationen zum Übersetzen des ASVS finden Sie im Abschnitt „Übersetzungen“ von CONTRIBUTING.md.

• v4.0.3
  • OWASP Application Security Verification Standard 4.0.3 Spanisch (PDF) und andere Formate. (Danke an Carlos Allendes und Hans Herrera)
  • OWASP Application Security Verification Standard 4.0.3 Vereinfachtes Chinesisch (PDF) und andere Formate. (Danke an Unc1e)
  • OWASP Application Security Verification Standard 4.0.3 Arabisch (PDF) und andere Formate. (Dank an Aref Shaheed und Mhd Ghassan Alhabash)
  • OWASP Application Security Verification Standard 4.0.3 Russisch (PDF) und andere Formate. (Danke an Andrei Titov)
  • OWASP Application Security Verification Standard 4.0.3 Französisch (PDF) und andere Formate. (Dank an Cédric Lallier, Alexandre Joly, Sebastien Gioria und Marc Aubry)
  • OWASP Application Security Verification Standard 4.0.3 Deutsch (PDF) und andere Formate. (Danke an Jörg Brünner)
  • OWASP Application Security Verification Standard 4.0.3 Portugiesisch (PDF) und andere Formate. (Danke an Cesar Kohl)
  • OWASP Application Security Verification Standard 4.0.3 Italienisch (PDF) und andere Formate. (Danke an Riccardo Sirigu)
• v4.0.2
  • OWASP Application Security Verification Standard 4.0.2 Deutsch (PDF) und Microsoft Word-Format. (Danke an Jörg Brünner)
  • OWASP Application Security Verification Standard 4.0.2 Russisch (PDF) und Microsoft Word-Format. (Danke an Sergey Diakonov)
• v4.0.1
  • OWASP Application Security Verification Standard 4.0.1 Persisch (PDF) (Danke an CERT der Ferdowsi University of Mashhad / Ardalan Foroughipour)
  • OWASP Application Security Verification Standard 4.0.1 Japanisch (PDF) (Danke an Software ISAC Japan / Riotaro OKADA)
  • OWASP Application Security Verification Standard 4.0.1 Türkisch (PDF) (Dank an Fatih ERSINADIM)

Die Anforderungen wurden mit folgenden Zielen entwickelt:

• Helfen Sie Organisationen bei der Einführung oder Anpassung eines hochwertigen Standards für sichere Codierung
• Helfen Sie Architekten und Entwicklern beim Aufbau sicherer Software, indem Sie Sicherheit entwerfen und einbauen und mithilfe von Unit- und Integrationstests, die ASVS-Tests implementieren, überprüfen, ob sie vorhanden und effektiv sind
• Helfen Sie bei der Bereitstellung sicherer Software durch die Verwendung wiederholbarer, sicherer Builds
• Helfen Sie Sicherheitsprüfern, einen umfassenden, konsistenten und hohen Qualitätsstandard für Hybrid-Code-Reviews, sichere Code-Reviews, Peer-Code-Reviews und Retrospektiven zu verwenden, und arbeiten Sie mit Entwicklern zusammen, um Sicherheitseinheits- und Integrationstests zu erstellen. Es ist sogar möglich, diesen Standard für Penetrationstests auf Level 1 zu verwenden
• Unterstützen Sie Tool-Anbieter, indem Sie sicherstellen, dass es eine leicht erzeugbare, maschinenlesbare Version mit CWE-Zuordnungen gibt
• Unterstützen Sie Organisationen beim Benchmarking von Anwendungssicherheitstools anhand des Prozentsatzes der ASVS-Abdeckung für dynamische, interaktive und statische Analysetools
• Minimieren Sie sich überschneidende und konkurrierende Anforderungen anderer Standards, indem Sie sich entweder stark an diese orientieren (NIST 800-63) oder strenge Obersätze darstellen (OWASP Top 10 2021, PCI DSS 3.2.1), was dazu beiträgt, Compliance-Kosten, -Aufwand und -Zeit zu reduzieren verschwendet, indem man unnötige Unterschiede als Risiken akzeptierte.

ASVS-Anforderungslisten werden in CSV, JSON und anderen Formaten zur Verfügung gestellt, die als Referenz oder zur programmgesteuerten Verwendung nützlich sein können.

Jede Anforderung hat eine Kennung im Format <chapter>.<section>.<requirement> wobei jedes Element eine Zahl ist, zum Beispiel: 1.11.3 :

• Der Wert <chapter> entspricht dem Kapitel, aus dem die Anforderung stammt, zum Beispiel: Alle 1.#.# Anforderungen stammen aus dem Kapitel Architecture .
• Der Wert <section> entspricht dem Abschnitt innerhalb des Kapitels, in dem die Anforderung vorkommt, zum Beispiel: Alle 1.11.# Anforderungen befinden sich im Abschnitt Business Logic Architecture des Kapitels Architecture .
• Der Wert <requirement> identifiziert die spezifische Anforderung innerhalb des Kapitels und Abschnitts, zum Beispiel: 1.11.3 , die ab Version 4.0.3 dieser Norm lautet:

Stellen Sie sicher, dass alle hochwertigen Geschäftslogikabläufe, einschließlich Authentifizierung, Sitzungsverwaltung und Zugriffskontrolle, Thread-sicher und resistent gegenüber Time-of-Check- und Time-of-Use-Race-Conditions sind.

Die Bezeichner können sich zwischen den Versionen des Standards ändern. Daher ist es vorzuziehen, dass andere Dokumente, Berichte oder Tools das Format verwenden: v<version>-<chapter>.<section>.<requirement> , wobei „Version“ das ASVS ist Versions-Tag. Beispielsweise würde unter v4.0.3-1.11.3 speziell die dritte Anforderung im Abschnitt „Business-Logik-Architektur“ des Kapitels „Architektur“ ab Version 4.0.3 verstanden werden. (Dies könnte als v<version>-<requirement_identifier> zusammengefasst werden.)

Hinweis: Das v vor dem Versionsteil muss in Kleinbuchstaben geschrieben werden.

Wenn Bezeichner ohne das Element v<version> “ verwendet werden, sollte davon ausgegangen werden, dass sie sich auf den neuesten Inhalt des Application Security Verification Standard beziehen. Wenn der Standard wächst und sich ändert, wird dies natürlich problematisch, weshalb Autoren oder Entwickler das Versionselement einbeziehen sollten.

Der gesamte Projektinhalt steht unter der Creative Commons Attribution-Share Alike v4.0 -Lizenz.