ASVS

이 저작물은 Creative Commons Attribution-ShareAlike 4.0 International License에 따라 라이센스가 부여됩니다.

OWASP 애플리케이션 보안 검증 표준(ASVS) 프로젝트의 주요 목표는 모든 유형의 웹 앱 및 웹 서비스에 대한 개방형 애플리케이션 보안 표준을 제공하는 것입니다.

이 표준은 아키텍처 문제, 보안 개발 수명주기, 위협 모델링, 지속적인 통합/배포를 포함한 민첩한 보안, 서버리스 및 구성 문제를 포함하여 기술 애플리케이션 보안 제어를 설계, 구축 및 테스트하기 위한 기반을 제공합니다.

우리는 "후원자" 페이지를 통해 상당한 시간을 투자하거나 재정적으로 프로젝트를 지원한 조직에 감사의 마음을 전합니다!

버그를 발견하거나 아이디어가 있으면 문제를 기록해 주세요. 이후에 문제에 대한 토론을 기반으로 끌어오기 요청을 열도록 요청할 수 있습니다. 우리는 또한 4.n 브랜치의 번역을 적극적으로 찾고 있습니다.

이 프로젝트는 4명의 프로젝트 리더인 Daniel Cuthbert, Jim Manico, Josh Grossman 및 Elar Lang이 주도합니다.

Shanni Prutchi, Ralph Andalis, Meghan Jacquot, Iman Sharafaldin 및 Ryan Armstrong으로 구성된 ASVS 실무 그룹의 지원을 받습니다.

이제 이 위키 페이지에 ASVS 버전 5.0에 대한 로드맵과 목표를 게시했습니다.

최신 안정 버전은 버전 4.0.3(2021년 10월 날짜)이며 다음에서 찾을 수 있습니다.

• OWASP 애플리케이션 보안 검증 표준 4.0.3 영어 (PDF)
• OWASP 애플리케이션 보안 검증 표준 4.0.3 영어(Word)
• OWASP 애플리케이션 보안 검증 표준 4.0.3 영어(CSV)
• OWASP 애플리케이션 보안 검증 표준 4.0.3(GitHub 태그)

이 저장소의 마스터 브랜치는 항상 진행 중인 변경 사항이나 기타 편집 내용이 열려 있을 수 있는 "최첨단 버전"입니다. 다음 릴리스 목표는 버전 5.0이 될 것입니다.

표준 4.0.2와 4.0.3 사이의 변경 사항에 대한 자세한 내용은 이 위키 페이지를 참조하고 전체 차이점은 이 끌어오기 요청을 참조하세요.

번역과 관련된 OWASP 커뮤니티 노력은 최선의 노력입니다. 내용이 유효한지 확인하기 위해 최선을 다하고 있지만, 구조적인 관점에서 볼 때 번역의 정확성을 보장하기 위해 할 수 있는 일은 한계가 있습니다. 우리는 ASVS를 전 세계에서 최대한 사용할 수 있도록 돕기 위해 커뮤니티에 의존하고 있으며 주요 분기를 귀하의 언어로 번역하는 것이 프로젝트에 중요합니다.

번역에 도움을 줄 수 있다고 생각하거나 아래의 현재 번역 목록이 올바른지 확인하고 싶다면 커뮤니티에 참여하여 모두를 위한 놀라운 ASVS를 만들어 보시기 바랍니다. ASVS 번역에 대한 자세한 내용은 CONTRIBUTING.md의 번역 섹션을 참조하세요.

• v4.0.3
  • OWASP 애플리케이션 보안 검증 표준 4.0.3 스페인어(PDF) 및 기타 형식. (Carlos Allendes와 Hans Herrera에게 감사드립니다)
  • OWASP 애플리케이션 보안 검증 표준 4.0.3 중국어 간체(PDF) 및 기타 형식. (Unc1e에게 감사드립니다)
  • OWASP 애플리케이션 보안 검증 표준 4.0.3 아랍어(PDF) 및 기타 형식. (Aref Shaheed와 Mhd Ghassan Alhabash에게 감사드립니다)
  • OWASP 애플리케이션 보안 검증 표준 4.0.3 러시아어(PDF) 및 기타 형식. (Andrei Titov에게 감사드립니다)
  • OWASP 애플리케이션 보안 검증 표준 4.0.3 프랑스어(PDF) 및 기타 형식. (Cédric Lallier, Alexandre Joly, Sebastien Gioria 및 Marc Aubry에게 감사드립니다)
  • OWASP 애플리케이션 보안 검증 표준 4.0.3 독일어(PDF) 및 기타 형식. (Jörg Brünner에게 감사드립니다)
  • OWASP 애플리케이션 보안 검증 표준 4.0.3 포르투갈어(PDF) 및 기타 형식. (세자르 콜에게 감사드립니다)
  • OWASP 애플리케이션 보안 검증 표준 4.0.3 이탈리아어(PDF) 및 기타 형식. (Riccardo Sirigu에게 감사드립니다)
• v4.0.2
  • OWASP 애플리케이션 보안 검증 표준 4.0.2 독일어(PDF) 및 Microsoft Word 형식. (Jörg Brünner에게 감사드립니다)
  • OWASP 애플리케이션 보안 검증 표준 4.0.2 러시아어(PDF) 및 Microsoft Word 형식. (Sergey Diakonov에게 감사드립니다)
• v4.0.1
  • OWASP 애플리케이션 보안 검증 표준 4.0.1 페르시아어(PDF) (Ferdowsi University of Mashhad / Ardalan Foroughipour의 CERT에 감사드립니다)
  • OWASP 애플리케이션 보안 검증 표준 4.0.1 일본어(PDF) (소프트웨어 ISAC Japan / Riotaro OKADA 제공)
  • OWASP 애플리케이션 보안 검증 표준 4.0.1 터키어(PDF)(Fatih ERSINADIM에게 감사드립니다)

요구사항은 다음 목표를 염두에 두고 개발되었습니다.

• 조직이 고품질 보안 코딩 표준을 채택하거나 적응하도록 지원
• 보안을 설계 및 구축하고 ASVS 테스트를 구현하는 단위 및 통합 테스트를 사용하여 보안이 적절하고 효과적인지 확인함으로써 설계자와 개발자가 안전한 소프트웨어를 구축할 수 있도록 지원합니다.
• 반복 가능하고 보안이 유지되는 빌드를 사용하여 보안 소프트웨어 배포 지원
• 보안 검토자가 하이브리드 코드 검토, 보안 코드 검토, 동료 코드 검토, 회고를 위해 포괄적이고 일관된 고품질 표준을 사용하고 개발자와 협력하여 보안 단위 및 통합 테스트를 구축할 수 있도록 지원합니다. 이 표준을 레벨 1의 침투 테스트에도 사용할 수 있습니다.
• CWE 매핑을 통해 쉽게 생성 가능한 기계 판독 가능 버전을 보장하여 도구 공급업체를 지원합니다.
• 동적, 대화형 및 정적 분석 도구에 대한 ASVS 적용 범위를 기준으로 조직이 애플리케이션 보안 도구를 벤치마킹하도록 지원합니다.
• 다른 표준과 강력하게 일치하거나(NIST 800-63) 엄격한 상위 집합(OWASP Top 10 2021, PCI DSS 3.2.1)을 적용하여 다른 표준의 중복 및 경쟁 요구 사항을 최소화하여 규정 준수 비용, 노력 및 시간을 줄이는 데 도움이 됩니다. 불필요한 차이를 위험으로 받아들이는 데 낭비됩니다.

ASVS 요구 사항 목록은 참조 또는 프로그래밍 방식으로 유용할 수 있는 CSV, JSON 및 기타 형식으로 제공됩니다.

각 요구 사항에는 <chapter>.<section>.<requirement> 형식의 식별자가 있습니다. 여기서 각 요소는 숫자입니다(예: 1.11.3 ).

• <chapter> 값은 요구 사항이 나오는 장에 해당합니다. 예를 들어 모든 1.#.# 요구 사항은 Architecture 장에 있습니다.
• <section> 값은 요구 사항이 나타나는 해당 장 내의 섹션에 해당합니다. 예를 들어 모든 1.11.# 요구 사항은 Architecture 장의 Business Logic Architecture 섹션에 있습니다.
• <requirement> 값은 장과 섹션 내의 특정 요구 사항을 식별합니다. 예: 1.11.3 이 표준의 버전 4.0.3 기준:

인증, 세션 관리 및 액세스 제어를 포함한 모든 중요한 비즈니스 논리 흐름이 스레드로부터 안전하고 확인 시간 및 사용 시간 경합 조건에 저항하는지 확인합니다.

식별자는 표준 버전 간에 변경될 수 있으므로 다른 문서, 보고서 또는 도구는 v<version>-<chapter>.<section>.<requirement> 형식을 사용하는 것이 좋습니다. 여기서 'version'은 ASVS입니다. 버전 태그. 예: v4.0.3-1.11.3 특히 버전 4.0.3의 '아키텍처' 장에 있는 '비즈니스 논리 아키텍처' 섹션의 세 번째 요구 사항을 의미하는 것으로 이해됩니다. (이는 v<version>-<requirement_identifier> 로 요약될 수 있습니다.)

참고: 버전 부분 앞의 v 는 소문자여야 합니다.

v<version> 요소를 포함하지 않고 식별자를 사용하는 경우 최신 애플리케이션 보안 검증 표준 콘텐츠를 참조하는 것으로 가정해야 합니다. 분명히 표준이 성장하고 변경됨에 따라 문제가 발생하므로 작성자나 개발자는 버전 요소를 포함해야 합니다.

전체 프로젝트 콘텐츠는 Creative Commons Attribution-Share Alike v4.0 라이선스를 따릅니다.