ASVS

Ce travail est sous licence internationale Creative Commons Attribution-ShareAlike 4.0.

L'objectif principal du projet OWASP Application Security Verification Standard (ASVS) est de fournir une norme de sécurité des applications ouverte pour les applications Web et les services Web de tous types.

La norme fournit une base pour la conception, la création et le test de contrôles techniques de sécurité des applications, y compris les problèmes d'architecture, le cycle de vie de développement sécurisé, la modélisation des menaces, la sécurité agile, y compris l'intégration/déploiement continu, le sans serveur et les problèmes de configuration.

Nous reconnaissons avec gratitude les organisations qui ont soutenu le projet soit en leur accordant du temps, soit financièrement sur notre page « Supporters » !

Veuillez enregistrer les problèmes si vous trouvez des bugs ou si vous avez des idées. Nous pouvons par la suite vous demander d'ouvrir une pull request basée sur la discussion du problème. Nous recherchons également activement des traductions de la branche 4.n.

Le projet est dirigé par les quatre chefs de projet Daniel Cuthbert, Jim Manico, Josh Grossman et Elar Lang.

Ils sont soutenus par le groupe de travail ASVS composé de Shanni Prutchi, Ralph Andalis, Meghan Jacquot, Iman Sharafaldin et Ryan Armstrong.

Nous avons maintenant publié notre feuille de route et nos objectifs pour la version 5.0 de l'ASVS dans cette page wiki.

La dernière version stable est la version 4.0.3 (datée d'octobre 2021), que l'on peut trouver :

• Norme de vérification de la sécurité des applications OWASP 4.0.3 anglais (PDF)
• Norme de vérification de la sécurité des applications OWASP 4.0.3 anglais (Word)
• Norme de vérification de la sécurité des applications OWASP 4.0.3 anglais (CSV)
• Norme de vérification de la sécurité des applications OWASP 4.0.3 (balise GitHub)

La branche principale de ce référentiel sera toujours la "version à la pointe de la technologie" qui peut contenir des modifications en cours ou d'autres modifications ouvertes. La prochaine version cible sera la version 5.0 .

Pour plus d'informations sur les modifications entre 4.0.2 et 4.0.3 de la norme, consultez cette page wiki et pour une différence complète, consultez cette demande d'extraction.

L’effort de la communauté OWASP en ce qui concerne les traductions est un meilleur effort. Même si nous faisons tout notre possible pour garantir la validité du contenu, d’un point de vue structurel, nous ne pouvons pas faire grand-chose pour garantir que les traductions sont correctes. Nous comptons sur vous, la communauté, pour contribuer à rendre l'ASVS aussi utilisable que possible partout dans le monde, et traduire la branche principale dans votre langue est important pour le projet.

Si vous pensez pouvoir aider avec les traductions, ou même vous assurer que la liste actuelle des traductions ci-dessous est correcte, nous serions ravis que vous rejoigniez la communauté et rendiez l'ASVS incroyable pour tous. Pour plus d’informations sur la traduction de l’ASVS, consultez la section traductions de CONTRIBUTING.md.

• v4.0.3
  • OWASP Application Security Verification Standard 4.0.3 espagnol (PDF) et autres formats. (Merci à Carlos Allendes et Hans Herrera)
  • OWASP Application Security Verification Standard 4.0.3 Chinois simplifié (PDF) et autres formats. (Merci à Onc1e)
  • OWASP Application Security Verification Standard 4.0.3 Arabe (PDF) et autres formats. (Merci à Aref Shaheed et Mhd Ghassan Alhabash)
  • OWASP Application Security Verification Standard 4.0.3 russe (PDF) et autres formats. (Merci à Andreï Titov)
  • OWASP Application Security Verification Standard 4.0.3 Français (PDF) et autres formats. (Merci à Cédric Lallier, Alexandre Joly, Sébastien Gioria et Marc Aubry)
  • OWASP Application Security Verification Standard 4.0.3 allemand (PDF) et autres formats. (Merci à Jörg Brünner)
  • OWASP Application Security Verification Standard 4.0.3 Portugais (PDF) et autres formats. (Merci à César Kohl)
  • OWASP Application Security Verification Standard 4.0.3 italien (PDF) et autres formats. (Merci à Riccardo Sirigu)
• v4.0.2
  • OWASP Application Security Verification Standard 4.0.2 allemand (PDF) et format Microsoft Word. (Merci à Jörg Brünner)
  • OWASP Application Security Verification Standard 4.0.2 russe (PDF) et format Microsoft Word. (Merci à Sergueï Diakonov)
• v4.0.1
  • OWASP Application Security Verification Standard 4.0.1 Persan (PDF) (Merci au CERT de l'Université Ferdowsi de Mashhad / Ardalan Foroughipour)
  • OWASP Application Security Verification Standard 4.0.1 japonais (PDF) (Grâce au logiciel ISAC Japan / Riotaro OKADA)
  • OWASP Application Security Verification Standard 4.0.1 turc (PDF) (Merci à Fatih ERSINADIM)

Les exigences ont été élaborées en gardant à l’esprit les objectifs suivants :

• Aider les organisations à adopter ou à adapter une norme de codage sécurisé de haute qualité
• Aider les architectes et les développeurs à créer des logiciels sécurisés en concevant et en intégrant la sécurité et en vérifiant qu'ils sont en place et efficaces grâce à l'utilisation de tests unitaires et d'intégration qui implémentent les tests ASVS.
• Aide au déploiement de logiciels sécurisés via l'utilisation de versions répétables et sécurisées
• Aidez les réviseurs de sécurité à utiliser une norme de qualité complète, cohérente et élevée pour les révisions de code hybrides, les révisions de code sécurisées, les révisions de code par les pairs, les rétrospectives et à travailler avec les développeurs pour créer des tests d'unité de sécurité et d'intégration. Il est même possible d’utiliser cette norme pour des tests d’intrusion au niveau 1
• Aider les fournisseurs d'outils en garantissant qu'il existe une version lisible par machine facilement générative, avec des mappages CWE
• Aider les organisations à comparer les outils de sécurité des applications en fonction du pourcentage de couverture de l'ASVS pour les outils d'analyse dynamiques, interactifs et statiques.
• Minimisez les exigences qui se chevauchent et sont concurrentes d'autres normes, soit en vous alignant fortement sur elles (NIST 800-63), soit en étant des surensembles stricts (OWASP Top 10 2021, PCI DSS 3.2.1), ce qui contribuera à réduire les coûts, les efforts et le temps de conformité. gaspillé en acceptant des différences inutiles comme des risques.

Les listes d'exigences ASVS sont disponibles au format CSV, JSON et dans d'autres formats qui peuvent être utiles à des fins de référence ou d'utilisation programmatique.

Chaque exigence possède un identifiant au format <chapter>.<section>.<requirement> où chaque élément est un nombre, par exemple : 1.11.3 :

• La valeur <chapter> correspond au chapitre dont est issue l'exigence, par exemple : toutes les exigences 1.#.# sont issues du chapitre Architecture .
• La valeur <section> correspond à la section de ce chapitre où l'exigence apparaît, par exemple : toutes les exigences 1.11.# se trouvent dans la section Business Logic Architecture du chapitre Architecture .
• La valeur <requirement> identifie l'exigence spécifique dans le chapitre et la section, par exemple : 1.11.3 qui, à partir de la version 4.0.3 de cette norme, est :

Vérifiez que tous les flux de logique métier à forte valeur ajoutée, y compris l'authentification, la gestion de session et le contrôle d'accès, sont thread-safe et résistants aux conditions de concurrence en matière de temps de vérification et de temps d'utilisation.

Les identifiants peuvent changer entre les versions de la norme, il est donc préférable que d'autres documents, rapports ou outils utilisent le format : v<version>-<chapter>.<section>.<requirement> , où : 'version' est l'ASVS. balise de version. Par exemple : v4.0.3-1.11.3 signifierait spécifiquement la 3ème exigence de la section « Architecture logique métier » du chapitre « Architecture » de la version 4.0.3. (Cela pourrait être résumé comme v<version>-<requirement_identifier> .)

Remarque : Le v précédant la partie version doit être en minuscules.

Si les identifiants sont utilisés sans inclure l’élément v<version> , ils doivent alors être supposés faire référence au dernier contenu de la norme de vérification de la sécurité des applications. Évidemment, à mesure que la norme évolue et évolue, cela devient problématique, c'est pourquoi les rédacteurs ou les développeurs doivent inclure l'élément version.

L'ensemble du contenu du projet est sous la licence Creative Commons Attribution-Share Alike v4.0 .