ASVS

この作品は、クリエイティブ コモンズ表示 - 継承 4.0 国際ライセンスに基づいてライセンスされています。

OWASP Application Security Verification Standard (ASVS) プロジェクトの主な目的は、あらゆる種類の Web アプリと Web サービスにオープンなアプリケーション セキュリティ標準を提供することです。

この標準は、アーキテクチャ上の懸念事項、安全な開発ライフサイクル、脅威モデリング、継続的な統合/展開を含むアジャイル セキュリティ、サーバーレス、および構成の懸念事項を含む、技術的なアプリケーション セキュリティ制御を設計、構築、テストするための基礎を提供します。

私たちは、「サポーター」ページで、多大な時間の提供または財政的な形でプロジェクトをサポートしてくださった組織に感謝の意を表します。

バグを見つけた場合やアイデアがある場合は、問題を記録してください。その後、問題のディスカッションに基づいてプル リクエストを開くようお願いする場合があります。 4.n ブランチの翻訳も積極的に募集しています。

このプロジェクトは、Daniel Cuthbert、Jim Manico、Josh Grossman、Elar Lang の 4 人のプロジェクト リーダーによって率いられています。

これらは、シャニ・プルッチ、ラルフ・アンダリス、メーガン・ジャコット、イマン・シャラファルディン、ライアン・アームストロングで構成されるASVSワーキンググループによってサポートされています。

ASVS バージョン 5.0 のロードマップと目標をこの Wiki ページで公開しました。

最新の安定バージョンはバージョン 4.0.3 (2021 年 10 月付け) で、次の場所にあります。

• OWASP アプリケーション セキュリティ検証標準 4.0.3 英語 (PDF)
• OWASP アプリケーション セキュリティ検証標準 4.0.3 英語 (Word)
• OWASP アプリケーション セキュリティ検証標準 4.0.3 英語 (CSV)
• OWASP アプリケーション セキュリティ検証標準 4.0.3 (GitHub タグ)

このリポジトリのマスター ブランチは常に「最新バージョン」となり、進行中の変更やその他の編集が開かれている可能性があります。次のリリースターゲットはバージョン5.0になります。

標準の 4.0.2 と 4.0.3 の間の変更点については、この Wiki ページを参照してください。完全な差分については、このプル リクエストを参照してください。

翻訳に関する OWASP コミュニティの取り組みはベスト エフォートです。私たちはコンテンツが有効であることを確認するために最善を尽くしていますが、構造的な観点から、翻訳が正しいことを確認するためにできることは限られています。 ASVS を世界中で可能な限り利用できるようにするために、私たちはコミュニティの皆さんに頼っています。メイン ブランチを皆さんの言語に翻訳することはプロジェクトにとって重要です。

翻訳を手伝っていただけると思われる場合、または以下の現在の翻訳リストが正しいことを確認したい場合は、ぜひコミュニティに参加して、ASVS をすべての人にとって素晴らしいものにしてください。 ASVS の翻訳の詳細については、CONTRIBUTING.md の翻訳セクションを参照してください。

• v4.0.3
  • OWASP Application Security Verification Standard 4.0.3 スペイン語 (PDF) およびその他の形式。 (カルロス・アジェンデス氏とハンス・エレーラ氏に感謝)
  • OWASP Application Security Verification Standard 4.0.3 簡体字中国語 (PDF) およびその他の形式。 (Unc1e に感謝)
  • OWASP Application Security Verification Standard 4.0.3 アラビア語 (PDF) およびその他の形式。 (Aref Shaheed 氏と Mhd Ghassan Alhabash 氏に感謝)
  • OWASP Application Security Verification Standard 4.0.3 ロシア語 (PDF) およびその他の形式。 (アンドレイ・チトフに感謝)
  • OWASP Application Security Verification Standard 4.0.3 フランス語 (PDF) およびその他の形式。 (Cédric Lallier、Alexandre Joly、Sebastien Gioria、Marc Aubry に感謝)
  • OWASP Application Security Verification Standard 4.0.3 ドイツ語 (PDF) およびその他の形式。 (ヨルグ・ブルンナーに感謝)
  • OWASP Application Security Verification Standard 4.0.3 ポルトガル語 (PDF) およびその他の形式。 (シーザー・コールに感謝)
  • OWASP Application Security Verification Standard 4.0.3 イタリア語 (PDF) およびその他の形式。 (リッカルド・シリグに感謝)
• v4.0.2
  • OWASP Application Security Verification Standard 4.0.2 ドイツ語 (PDF) および Microsoft Word 形式。 (ヨルグ・ブルンナーに感謝)
  • OWASP Application Security Verification Standard 4.0.2 ロシア語 (PDF) および Microsoft Word 形式。 (セルゲイ・ディアコノフに感謝)
• v4.0.1
  • OWASP Application Security Verification Standard 4.0.1 Persian (PDF) (マシュハドのフェルドウシ大学 / Ardalan Foroughipour の CERT に感謝)
  • OWASP Application Security Verification Standard 4.0.1 日本語版 (PDF) (協力：Software ISAC Japan / Riotaro OKADA)
  • OWASP アプリケーション セキュリティ検証標準 4.0.1 トルコ語 (PDF) (Fatih ERSINADIM に感謝)

この要件は、次の目的を念頭に置いて作成されました。

• 組織が高品質でセキュアなコーディング標準を採用または適応できるよう支援する
• アーキテクトと開発者がセキュリティを設計および構築し、ASVS テストを実装する単体テストと統合テストを使用してセキュリティが適切に実装され効果的であることを検証することで、安全なソフトウェアを構築できるように支援します。
• 反復可能で安全なビルドを使用して、安全なソフトウェアの導入を支援します
• セキュリティレビュー担当者が、ハイブリッド コード レビュー、セキュア コード レビュー、ピア コード レビュー、レトロスペクティブに包括的で一貫性のある高品質の標準を使用し、開発者と協力してセキュリティ単体テストと統合テストを構築できるように支援します。この規格をレベル 1 の侵入テストに使用することも可能です。
• CWE マッピングを使用して、簡単に生成できる機械可読バージョンを確保することで、ツール ベンダーを支援します。
• 動的、対話型、および静的分析ツールの ASVS のカバレッジの割合に基づいて、組織がアプリケーション セキュリティ ツールのベンチマークを行うのを支援します
• 他の標準と強力に連携するか (NIST 800-63)、厳密なスーパーセット (OWASP Top 10 2021、PCI DSS 3.2.1) にすることで、他の標準との重複および競合する要件を最小限に抑え、コンプライアンスのコスト、労力、時間の削減に役立ちます。不必要な違いをリスクとして受け入れるのは無駄です。

ASVS 要件リストは、CSV、JSON、および参照またはプログラムでの使用に役立つその他の形式で利用可能です。

各要件には<chapter>.<section>.<requirement>という形式の識別子があり、各要素は数値です (例: 1.11.3 )。

• <chapter>値は、要件が由来する章に対応します。たとえば、すべての1.#.#要件はArchitecture章からのものです。
• <section>値は、その章内の要件が記載されているセクションに対応します。たとえば、すべての1.11.#要件は、 Architecture章の「 Business Logic Architectureセクションにあります。
• <requirement>値は、章とセクション内の特定の要件を識別します。たとえば、 1.11.3です。この規格のバージョン 4.0.3 では、次のようになります。

認証、セッション管理、アクセス制御など、すべての高価値のビジネス ロジック フローがスレッド セーフであり、チェック時間や使用時間の競合状態に耐性があることを確認します。

識別子は標準のバージョン間で変更される可能性があるため、他の文書、レポート、またはツールではv<version>-<chapter>.<section>.<requirement>形式を使用することが望ましいです。ここで、「version」は ASVS です。バージョンタグ。たとえば、 v4.0.3-1.11.3 、バージョン 4.0.3 の「アーキテクチャ」の章の「ビジネス ロジック アーキテクチャ」セクションの 3 番目の要件を特に意味すると理解されます。 (これはv<version>-<requirement_identifier>として要約できます。)

注: バージョン部分の前のv小文字にする必要があります。

v<version>要素を含めずに識別子が使用される場合、それらは最新の Application Security Verification Standard の内容を参照していると想定される必要があります。標準が成長し、変更されると、これが問題となるのは明らかです。そのため、作成者または開発者は version 要素を含める必要があります。

プロジェクトのコンテンツ全体は、 Creative Commons Attribution-Share Alike v4.0ライセンスの下にあります。