ASVS

Karya ini dilisensikan di bawah Lisensi Internasional Creative Commons Attribution-ShareAlike 4.0.

Tujuan utama Proyek Standar Verifikasi Keamanan Aplikasi (ASVS) OWASP adalah untuk menyediakan standar keamanan aplikasi terbuka untuk semua jenis aplikasi web dan layanan web.

Standar ini memberikan dasar untuk merancang, membangun, dan menguji kontrol keamanan aplikasi teknis, termasuk masalah arsitektur, siklus hidup pengembangan yang aman, pemodelan ancaman, keamanan tangkas termasuk masalah integrasi/penerapan berkelanjutan, tanpa server, dan konfigurasi.

Kami berterima kasih kepada organisasi-organisasi yang telah mendukung proyek ini baik melalui penyediaan waktu atau finansial yang signifikan di halaman "Pendukung" kami!

Silakan catat masalah jika Anda menemukan bug atau jika Anda punya ide. Kami selanjutnya mungkin meminta Anda untuk membuka permintaan penarikan berdasarkan diskusi dalam masalah tersebut. Kami juga secara aktif mencari terjemahan dari cabang 4.n.

Proyek ini dipimpin oleh empat pemimpin proyek Daniel Cuthbert, Jim Manico, Josh Grossman, dan Elar Lang.

Mereka didukung oleh Kelompok Kerja ASVS yang beranggotakan Shanni Prutchi, Ralph Andalis, Meghan Jacquot, Iman Sharafaldin, dan Ryan Armstrong.

Kami sekarang telah menerbitkan peta jalan dan tujuan kami untuk ASVS versi 5.0 di halaman wiki ini.

Versi stabil terbaru adalah versi 4.0.3 (tanggal Oktober 2021), yang dapat ditemukan:

• Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 Bahasa Inggris (PDF)
• Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 Bahasa Inggris (Word)
• Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 Bahasa Inggris (CSV)
• Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 (Tag GitHub)

Cabang master repositori ini akan selalu menjadi "versi terbaru" yang mungkin sedang dalam proses perubahan atau pengeditan lainnya terbuka. Target rilis berikutnya adalah versi 5.0 .

Untuk informasi tentang perubahan antara standar 4.0.2 dan 4.0.3, lihat halaman wiki ini dan untuk perbedaan selengkapnya, lihat permintaan penarikan ini.

Upaya Komunitas OWASP terkait penerjemahan adalah upaya terbaik. Meskipun kami melakukan yang terbaik untuk memastikan konten tersebut valid, dari sudut pandang struktural, hanya ada sedikit hal yang dapat kami lakukan untuk memastikan terjemahannya benar. Kami mengandalkan Anda, komunitas, untuk membantu menjadikan ASVS dapat digunakan semaksimal mungkin di seluruh dunia, dan menerjemahkan cabang utama ke dalam bahasa Anda adalah hal yang penting bagi proyek ini.

Jika Anda merasa dapat membantu penerjemahan, atau memastikan daftar terjemahan di bawah ini benar, kami ingin Anda bergabung dengan komunitas dan membuat ASVS luar biasa untuk semua. Untuk informasi lebih lanjut tentang menerjemahkan ASVS lihat bagian terjemahan CONTRIBUTING.md.

• v4.0.3
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 Spanyol (PDF) dan format lainnya. (Terima kasih kepada Carlos Allendes dan Hans Herrera)
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 Bahasa Mandarin Sederhana (PDF) dan format lainnya. (Terima kasih kepada Paman1e)
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 Arab (PDF) dan format lainnya. (Terima kasih kepada Aref Shaheed dan Mhd Ghassan Alhabash)
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 Rusia (PDF) dan format lainnya. (Terima kasih kepada Andrey Titov)
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 Perancis (PDF) dan format lainnya. (Terima kasih kepada Cédric Lallier, Alexandre Joly, Sebastien Gioria, dan Marc Aubry)
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 Jerman (PDF) dan format lainnya. (Terima kasih kepada Jörg Brünner)
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 Portugis (PDF) dan format lainnya. (Terima kasih kepada Cesar Kohl)
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.3 Italia (PDF) dan format lainnya. (Terima kasih kepada Riccardo Sirigu)
• v4.0.2
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.2 Jerman (PDF) dan format Microsoft Word. (Terima kasih kepada Jörg Brünner)
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.2 Rusia (PDF) dan format Microsoft Word. (Terima kasih kepada Sergei Diakonov)
• v4.0.1
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.1 Persia (PDF) (Berkat CERT Universitas Ferdowsi Mashhad / Ardalan Foroughipour)
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.1 Jepang (PDF) (Berkat Software ISAC Japan / Riotaro OKADA)
  • Standar Verifikasi Keamanan Aplikasi OWASP 4.0.1 Turki (PDF) (Terima kasih kepada Fatih ERSINADIM)

Persyaratan dikembangkan dengan tujuan sebagai berikut:

• Bantu organisasi mengadopsi atau mengadaptasi standar pengkodean aman berkualitas tinggi
• Membantu arsitek dan pengembang membangun perangkat lunak yang aman dengan merancang dan membangun keamanan, dan memverifikasi bahwa perangkat lunak tersebut ada dan efektif dengan menggunakan pengujian unit dan integrasi yang menerapkan pengujian ASVS
• Membantu menerapkan perangkat lunak yang aman melalui penggunaan build yang aman dan dapat diulang
• Bantu peninjau keamanan menggunakan standar kualitas tinggi yang komprehensif, konsisten, dan berkualitas tinggi untuk tinjauan kode hibrid, tinjauan kode aman, tinjauan kode rekan, retrospektif, dan bekerja dengan pengembang untuk membangun unit keamanan dan pengujian integrasi. Bahkan dimungkinkan untuk menggunakan standar ini untuk pengujian penetrasi di Level 1
• Bantu vendor alat dengan memastikan ada versi yang dapat dibaca mesin dengan mudah, dengan pemetaan CWE
• Membantu organisasi untuk mengukur alat keamanan aplikasi berdasarkan persentase cakupan ASVS untuk alat analisis dinamis, interaktif, dan statis
• Meminimalkan persyaratan yang tumpang tindih dan bersaing dari standar lain, dengan menyelaraskannya secara kuat (NIST 800-63), atau menjadi superset yang ketat (OWASP Top 10 2021, PCI DSS 3.2.1), yang akan membantu mengurangi biaya, tenaga, dan waktu kepatuhan terbuang sia-sia dalam menerima perbedaan yang tidak perlu sebagai risiko.

Daftar persyaratan ASVS tersedia dalam CSV, JSON, dan format lain yang mungkin berguna untuk referensi atau penggunaan terprogram.

Setiap kebutuhan mempunyai identifier dalam format <chapter>.<section>.<requirement> dimana setiap elemen berupa angka, contoh: 1.11.3 :

• Nilai <chapter> sesuai dengan bab asal persyaratan, misalnya: semua persyaratan 1.#.# berasal dari bab Architecture .
• Nilai <section> sesuai dengan bagian dalam bab tempat persyaratan muncul, misalnya: semua persyaratan 1.11.# ada di bagian Business Logic Architecture dalam bab Architecture .
• Nilai <requirement> mengidentifikasi persyaratan spesifik dalam bab dan bagian, misalnya: 1.11.3 yang pada versi 4.0.3 standar ini adalah:

Verifikasi bahwa semua alur logika bisnis bernilai tinggi, termasuk autentikasi, manajemen sesi, dan kontrol akses adalah thread yang aman dan tahan terhadap kondisi perlombaan waktu pemeriksaan dan waktu penggunaan.

Pengidentifikasi dapat berubah antar versi standar, oleh karena itu sebaiknya dokumen, laporan, atau alat lain menggunakan format: v<version>-<chapter>.<section>.<requirement> , dengan: 'version' adalah ASVS label versi. Misalnya: v4.0.3-1.11.3 akan dipahami secara khusus sebagai persyaratan ke-3 di bagian 'Arsitektur Logika Bisnis' pada bab 'Arsitektur' dari versi 4.0.3. (Ini dapat diringkas sebagai v<version>-<requirement_identifier> .)

Catatan: Huruf v sebelum bagian versi harus menggunakan huruf kecil.

Jika pengidentifikasi digunakan tanpa menyertakan elemen v<version> maka pengidentifikasi tersebut harus diasumsikan merujuk pada konten Standar Verifikasi Keamanan Aplikasi terbaru. Tentu saja seiring dengan pertumbuhan dan perubahan standar, hal ini menjadi masalah, itulah sebabnya penulis atau pengembang harus menyertakan elemen versi.

Seluruh konten proyek berada di bawah lisensi Creative Commons Attribution-Share Alike v4.0 .