ASVS

Este trabajo está bajo una licencia internacional Creative Commons Atribución-CompartirIgual 4.0.

El objetivo principal del proyecto OWASP Application Security Verification Standard (ASVS) es proporcionar un estándar de seguridad de aplicaciones abierto para aplicaciones web y servicios web de todo tipo.

El estándar proporciona una base para diseñar, construir y probar controles de seguridad de aplicaciones técnicas, incluidas cuestiones de arquitectura, ciclo de vida de desarrollo seguro, modelado de amenazas, seguridad ágil que incluye integración/implementación continua, sin servidor y cuestiones de configuración.

¡Reconocemos con gratitud a las organizaciones que han apoyado el proyecto, ya sea a través de una importante provisión de tiempo o financieramente, en nuestra página de "Partidarios"!

Registre los problemas si encuentra algún error o si tiene ideas. Posteriormente, es posible que le solicitemos que abra una solicitud de extracción basada en la discusión del problema. También estamos buscando activamente traducciones de la rama 4.n.

El proyecto está dirigido por los cuatro líderes del proyecto: Daniel Cuthbert, Jim Manico, Josh Grossman y Elar Lang.

Cuentan con el apoyo del Grupo de Trabajo de ASVS, formado por Shanni Prutchi, Ralph Andalis, Meghan Jacquot, Iman Sharafaldin y Ryan Armstrong.

Ahora hemos publicado nuestra hoja de ruta y objetivos para la versión 5.0 de ASVS en esta página wiki.

La última versión estable es la versión 4.0.3 (con fecha de octubre de 2021), que se puede encontrar:

• Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 Inglés (PDF)
• Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 Inglés (Word)
• Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 Inglés (CSV)
• Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 (etiqueta GitHub)

La rama maestra de este repositorio siempre será la "versión de última generación" que podría tener cambios en progreso u otras ediciones abiertas. El próximo objetivo de lanzamiento será la versión 5.0 .

Para obtener información sobre los cambios entre 4.0.2 y 4.0.3 del estándar, consulte esta página wiki y para obtener una diferencia completa, consulte esta solicitud de extracción.

El esfuerzo de la comunidad OWASP con respecto a las traducciones es el mejor esfuerzo. Si bien hacemos todo lo posible para garantizar que el contenido sea válido, desde una perspectiva estructural, hay mucho que podemos hacer para garantizar que las traducciones sean correctas. Confiamos en ustedes, la comunidad, para ayudar a que ASVS sea lo más utilizable posible en todo el mundo, y traducir la rama principal a su idioma es importante para el proyecto.

Si cree que puede ayudar con las traducciones, o incluso garantizar que la lista actual de traducciones a continuación sea correcta, nos encantaría que se uniera a la comunidad y hiciera que ASVS fuera increíble para todos. Para obtener más información sobre la traducción del ASVS, consulte la sección de traducciones de CONTRIBUTING.md.

• v4.0.3
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 Español (PDF) y otros formatos. (Gracias a Carlos Allendes y Hans Herrera)
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 Chino simplificado (PDF) y otros formatos. (Gracias al tío1e)
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 árabe (PDF) y otros formatos. (Gracias a Aref Shaheed y Mhd Ghassan Alhabash)
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 ruso (PDF) y otros formatos. (Gracias a Andréi Titov)
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 Francés (PDF) y otros formatos. (Gracias a Cédric Lallier, Alexandre Joly, Sébastien Gioria y Marc Aubry)
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 Alemán (PDF) y otros formatos. (Gracias a Jörg Brünner)
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 Portugués (PDF) y otros formatos. (Gracias a César Kohl)
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.3 Italiano (PDF) y otros formatos. (Gracias a Ricardo Sirigu)
• v4.0.2
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.2 Alemán (PDF) y formato Microsoft Word. (Gracias a Jörg Brünner)
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.2 Formato ruso (PDF) y Microsoft Word. (Gracias a Serguéi Diákonov)
• v4.0.1
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.1 persa (PDF) (Gracias al CERT de la Universidad Ferdowsi de Mashhad / Ardalan Foroughipour)
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.1 japonés (PDF) (Gracias al software ISAC Japón / Riotaro OKADA)
  • Estándar de verificación de seguridad de aplicaciones OWASP 4.0.1 turco (PDF) (Gracias a Fatih ERSINADIM)

Los requisitos fueron desarrollados con los siguientes objetivos en mente:

• Ayudar a las organizaciones a adoptar o adaptar un estándar de codificación segura de alta calidad
• Ayude a los arquitectos y desarrolladores a crear software seguro diseñando y creando seguridad y verificando que estén implementados y sean efectivos mediante el uso de pruebas unitarias y de integración que implementen pruebas ASVS.
• Ayude a implementar software seguro mediante el uso de compilaciones seguras y repetibles
• Ayude a los revisores de seguridad a utilizar un estándar integral, consistente y de alta calidad para revisiones de código híbrido, revisiones de código seguro, revisiones de código de pares, retrospectivas y trabaje con desarrolladores para crear pruebas de integración y unidades de seguridad. Incluso es posible utilizar este estándar para pruebas de penetración en el Nivel 1.
• Ayudar a los proveedores de herramientas a garantizar que haya una versión legible por máquina fácilmente generable, con asignaciones CWE
• Ayudar a las organizaciones a comparar las herramientas de seguridad de las aplicaciones según el porcentaje de cobertura del ASVS para herramientas de análisis dinámico, interactivo y estático.
• Minimizar los requisitos superpuestos y competitivos de otros estándares, ya sea alineándose fuertemente con ellos (NIST 800-63) o siendo superconjuntos estrictos (OWASP Top 10 2021, PCI DSS 3.2.1), lo que ayudará a reducir los costos, el esfuerzo y el tiempo de cumplimiento. desperdiciado en aceptar diferencias innecesarias como riesgos.

Las listas de requisitos de ASVS están disponibles en CSV, JSON y otros formatos que pueden resultar útiles como referencia o uso programático.

Cada requisito tiene un identificador en el formato <chapter>.<section>.<requirement> donde cada elemento es un número, por ejemplo: 1.11.3 :

• El valor <chapter> corresponde al capítulo del que proviene el requisito, por ejemplo: todos los requisitos 1.#.# son del capítulo Architecture .
• El valor <section> corresponde a la sección dentro de ese capítulo donde aparece el requisito, por ejemplo: todos los requisitos 1.11.# están en la sección Business Logic Architecture del capítulo Architecture .
• El valor <requirement> identifica el requisito específico dentro del capítulo y sección, por ejemplo: 1.11.3 que a partir de la versión 4.0.3 de este estándar es:

Verifique que todos los flujos de lógica empresarial de alto valor, incluida la autenticación, la gestión de sesiones y el control de acceso, sean seguros para subprocesos y resistentes a las condiciones de carrera de tiempo de verificación y tiempo de uso.

Los identificadores pueden cambiar entre versiones del estándar, por lo que es preferible que otros documentos, informes o herramientas utilicen el formato: v<version>-<chapter>.<section>.<requirement> , donde: 'versión' es el ASVS etiqueta de versión. Por ejemplo: se entendería que v4.0.3-1.11.3 significa específicamente el tercer requisito en la sección 'Arquitectura de lógica de negocios' del capítulo 'Arquitectura' de la versión 4.0.3. (Esto podría resumirse como v<version>-<requirement_identifier> .)

Nota: La v que precede a la parte de la versión debe estar en minúsculas.

Si se utilizan identificadores sin incluir el elemento v<version> , se debe asumir que hacen referencia al contenido más reciente del Estándar de verificación de seguridad de aplicaciones. Obviamente, a medida que el estándar crece y cambia, esto se vuelve problemático, razón por la cual los escritores o desarrolladores deberían incluir el elemento de versión.

Todo el contenido del proyecto está bajo la licencia Creative Commons Attribution-Share Alike v4.0 .