ASVS

Este trabalho está licenciado sob uma Licença Internacional Creative Commons Attribution-ShareAlike 4.0.

O objetivo principal do Projeto OWASP Application Security Verification Standard (ASVS) é fornecer um padrão aberto de segurança de aplicativos para aplicativos da web e serviços da web de todos os tipos.

O padrão fornece uma base para projetar, construir e testar controles técnicos de segurança de aplicativos, incluindo questões de arquitetura, ciclo de vida de desenvolvimento seguro, modelagem de ameaças, segurança ágil, incluindo integração/implantação contínua, sem servidor e questões de configuração.

Reconhecemos com gratidão as organizações que apoiaram o projeto através de uma provisão significativa de tempo ou financeiramente na nossa página "Apoiadores"!

Registre os problemas se encontrar algum bug ou se tiver ideias. Posteriormente, poderemos solicitar que você abra uma solicitação pull com base na discussão do problema. Também estamos procurando ativamente traduções do ramo 4.n.

O projeto é liderado pelos quatro líderes de projeto Daniel Cuthbert, Jim Manico, Josh Grossman e Elar Lang.

Eles são apoiados pelo Grupo de Trabalho ASVS, composto por Shanni Prutchi, Ralph Andalis, Meghan Jacquot, Iman Sharafaldin e Ryan Armstrong.

Publicamos agora nosso roteiro e objetivos para a versão 5.0 do ASVS nesta página wiki.

A versão estável mais recente é a versão 4.0.3 (datada de outubro de 2021), que pode ser encontrada:

• Padrão de verificação de segurança de aplicativos OWASP 4.0.3 inglês (PDF)
• Padrão de verificação de segurança de aplicativos OWASP 4.0.3 Inglês (Word)
• Padrão de verificação de segurança de aplicativos OWASP 4.0.3 inglês (CSV)
• Padrão de verificação de segurança de aplicativos OWASP 4.0.3 (tag GitHub)

O branch master deste repositório será sempre a "versão de ponta", que pode ter alterações em andamento ou outras edições abertas. O próximo lançamento será a versão 5.0 .

Para obter informações sobre alterações entre 4.0.2 e 4.0.3 do padrão, consulte esta página wiki e para uma comparação completa, consulte esta solicitação pull.

O esforço da Comunidade OWASP no que diz respeito às traduções é o melhor esforço. Embora façamos o máximo para garantir que o conteúdo seja válido, do ponto de vista estrutural, há muito que podemos fazer para garantir que as traduções estejam corretas. Contamos com vocês, comunidade, para ajudar a tornar o ASVS o mais utilizável possível em todo o mundo, e traduzir o ramo principal para o seu idioma é importante para o projeto.

Se você acha que pode ajudar com as traduções, ou mesmo garantir que a lista atual de traduções abaixo esteja correta, adoraríamos que você se juntasse à comunidade e tornasse o ASVS incrível para todos. Para obter mais informações sobre como traduzir o ASVS, consulte a seção de traduções de CONTRIBUTING.md.

• v4.0.3
  • Padrão de verificação de segurança de aplicativos OWASP 4.0.3 espanhol (PDF) e outros formatos. (Agradecimentos a Carlos Allendes e Hans Herrera)
  • Padrão de verificação de segurança de aplicativos OWASP 4.0.3 Chinês simplificado (PDF) e outros formatos. (Obrigado ao Tio1e)
  • Padrão de verificação de segurança de aplicativos OWASP 4.0.3 Árabe (PDF) e outros formatos. (Obrigado a Aref Shaheed e Mhd Ghassan Alhabash)
  • Padrão de verificação de segurança de aplicativos OWASP 4.0.3 Russo (PDF) e outros formatos. (Obrigado a Andrey Titov)
  • Padrão de verificação de segurança de aplicativos OWASP 4.0.3 Francês (PDF) e outros formatos. (Agradecimentos a Cédric Lallier, Alexandre Joly, Sebastien Gioria e Marc Aubry)
  • Padrão de verificação de segurança de aplicativos OWASP 4.0.3 alemão (PDF) e outros formatos. (Obrigado a Jörg Brünner)
  • OWASP Application Security Verification Standard 4.0.3 Português (PDF) e outros formatos. (Agradecimentos a César Kohl)
  • Padrão de verificação de segurança de aplicativos OWASP 4.0.3 italiano (PDF) e outros formatos. (Agradecimentos a Riccardo Sirigu)
• v4.0.2
  • OWASP Application Security Verification Standard 4.0.2 Alemão (PDF) e formato Microsoft Word. (Obrigado a Jörg Brünner)
  • Padrão de verificação de segurança de aplicativos OWASP 4.0.2 Russo (PDF) e formato Microsoft Word. (Obrigado a Sergei Diakonov)
• v4.0.1
  • Padrão de verificação de segurança de aplicativos OWASP 4.0.1 persa (PDF) (graças ao CERT da Universidade Ferdowsi de Mashhad / Ardalan Foroughipour)
  • Padrão de verificação de segurança de aplicativos OWASP 4.0.1 japonês (PDF) (graças ao software ISAC Japão / Riotaro OKADA)
  • Padrão de verificação de segurança de aplicativos OWASP 4.0.1 turco (PDF) (graças a Fatih ERSINADIM)

Os requisitos foram desenvolvidos com os seguintes objetivos em mente:

• Ajude as organizações a adotar ou adaptar um padrão de codificação seguro de alta qualidade
• Ajudar arquitetos e desenvolvedores a construir software seguro projetando e construindo segurança e verificando se eles estão em vigor e são eficazes por meio do uso de testes unitários e de integração que implementam testes ASVS
• Ajude a implantar software seguro por meio do uso de compilações seguras e repetíveis
• Ajude os revisores de segurança a usar um padrão abrangente, consistente e de alta qualidade para revisões de código híbrido, revisões de código seguro, revisões de código por pares, retrospectivas e trabalhar com desenvolvedores para criar testes unitários e de integração de segurança. É ainda possível usar este padrão para testes de penetração no Nível 1
• Auxiliar os fornecedores de ferramentas garantindo que haja uma versão facilmente gerada e legível por máquina, com mapeamentos CWE
• Auxiliar as organizações a avaliar ferramentas de segurança de aplicativos pela porcentagem de cobertura do ASVS para ferramentas de análise dinâmicas, interativas e estáticas
• Minimize os requisitos sobrepostos e concorrentes de outros padrões, alinhando-se fortemente com eles (NIST 800-63) ou sendo superconjuntos estritos (OWASP Top 10 2021, PCI DSS 3.2.1), o que ajudará a reduzir custos, esforço e tempo de conformidade desperdiçado em aceitar diferenças desnecessárias como riscos.

As listas de requisitos ASVS são disponibilizadas em CSV, JSON e outros formatos que podem ser úteis para referência ou uso programático.

Cada requisito possui um identificador no formato <chapter>.<section>.<requirement> onde cada elemento é um número, por exemplo: 1.11.3 :

• O valor <chapter> corresponde ao capítulo de onde vem o requisito, por exemplo: todos os requisitos 1.#.# são do capítulo Architecture .
• O valor <section> corresponde à seção dentro desse capítulo onde o requisito aparece, por exemplo: todos os requisitos 1.11.# estão na seção Business Logic Architecture do capítulo Architecture .
• O valor <requirement> identifica o requisito específico dentro do capítulo e seção, por exemplo: 1.11.3 que a partir da versão 4.0.3 desta norma é:

Verifique se todos os fluxos lógicos de negócios de alto valor, incluindo autenticação, gerenciamento de sessão e controle de acesso, são thread-safe e resistentes a condições de corrida de tempo de verificação e tempo de uso.

Os identificadores podem mudar entre as versões do padrão, portanto é preferível que outros documentos, relatórios ou ferramentas usem o formato: v<version>-<chapter>.<section>.<requirement> , onde: 'version' é o ASVS etiqueta de versão. Por exemplo: v4.0.3-1.11.3 seria entendido como significando especificamente o terceiro requisito na seção 'Arquitetura Lógica de Negócios' do capítulo 'Arquitetura' da versão 4.0.3. (Isso pode ser resumido como v<version>-<requirement_identifier> .)

Nota: O v que precede a parte da versão deve estar em letras minúsculas.

Se os identificadores forem usados ​​sem incluir o elemento v<version> , então deve-se presumir que eles se referem ao conteúdo mais recente do Application Security Verification Standard. Obviamente, à medida que o padrão cresce e muda, isso se torna problemático, e é por isso que os escritores ou desenvolvedores devem incluir o elemento version.

Todo o conteúdo do projeto está sob a licença Creative Commons Attribution-Share Alike v4.0 .