ASVS

Эта работа доступна под лицензией Creative Commons Attribution-ShareAlike 4.0 International License.

Основная цель проекта OWASP Application Security Verification Standard (ASVS) — предоставить открытый стандарт безопасности приложений для веб-приложений и веб-сервисов всех типов.

Стандарт обеспечивает основу для проектирования, создания и тестирования средств контроля безопасности технических приложений, включая архитектурные аспекты, безопасный жизненный цикл разработки, моделирование угроз, гибкую безопасность, включая непрерывную интеграцию / развертывание, бессерверные решения и проблемы конфигурации.

Мы выражаем признательность организациям, которые поддержали проект, уделив значительное время или финансово, на нашей странице «Поддерживающие»!

Пожалуйста, регистрируйте проблемы, если вы обнаружите какие-либо ошибки или у вас есть идеи. Впоследствии мы можем попросить вас открыть запрос на включение на основе обсуждения проблемы. Также активно ищем переводы ветки 4.n.

Проект возглавляют четыре руководителя проекта Дэниел Катберт, Джим Манико, Джош Гроссман и Элар Ланг.

Их поддерживает рабочая группа ASVS, в которую входят Шанни Прутчи, Ральф Андалис, Меган Жако, Иман Шарафальдин и Райан Армстронг.

Мы опубликовали нашу дорожную карту и цели для версии 5.0 ASVS на этой вики-странице.

Последней стабильной версией является версия 4.0.3 (от октября 2021 г.), которую можно найти:

• Стандарт проверки безопасности приложений OWASP 4.0.3, английский (PDF)
• Стандарт проверки безопасности приложений OWASP 4.0.3, английский (Word)
• Стандарт проверки безопасности приложений OWASP 4.0.3, английский (CSV)
• Стандарт проверки безопасности приложений OWASP 4.0.3 (тег GitHub)

Основной веткой этого репозитория всегда будет «новейшая версия», в которой могут быть открыты незавершенные изменения или другие правки. Следующей целью выпуска станет версия 5.0 .

Информацию об изменениях стандарта между версиями 4.0.2 и 4.0.3 см. на этой вики-странице, а полную разницу — в этом запросе на включение.

Усилия сообщества OWASP в отношении переводов — это наилучшие усилия. Хотя мы делаем все возможное, чтобы обеспечить достоверность контента, со структурной точки зрения мы можем сделать очень многое, чтобы гарантировать правильность переводов. Мы рассчитываем на то, что вы, сообщество, поможете сделать ASVS максимально удобным для использования во всем мире, и перевод основной ветки на ваш язык важен для проекта.

Если вы считаете, что можете помочь с переводами или действительно убедиться в правильности текущего списка переводов, приведенного ниже, мы будем рады, если вы присоединитесь к сообществу и сделаете ASVS удивительным для всех. Более подробную информацию о переводе ASVS смотрите в разделе переводов CONTRIBUTING.md.

• v4.0.3
  • Стандарт проверки безопасности приложений OWASP 4.0.3 на испанском языке (PDF) и другие форматы. (Спасибо Карлосу Альендесу и Хансу Эррере)
  • Стандарт проверки безопасности приложений OWASP 4.0.3, упрощенный китайский (PDF) и другие форматы. (Спасибо Unc1e)
  • Стандарт проверки безопасности приложений OWASP 4.0.3 на арабском языке (PDF) и другие форматы. (Спасибо Арефу Шахиду и Гассану Альхабашу)
  • Стандарт проверки безопасности приложений OWASP 4.0.3, русский (PDF) и другие форматы. (Спасибо Андрею Титову)
  • Стандарт проверки безопасности приложений OWASP 4.0.3 на французском языке (PDF) и другие форматы. (Спасибо Седрику Лалье, Александру Жоли, Себастьену Джорджиа и Марку Обри)
  • Стандарт проверки безопасности приложений OWASP 4.0.3 на немецком языке (PDF) и другие форматы. (Спасибо Йоргу Брюннеру)
  • Стандарт проверки безопасности приложений OWASP 4.0.3 на португальском языке (PDF) и другие форматы. (Спасибо Цезарю Колю)
  • Стандарт проверки безопасности приложений OWASP 4.0.3, итальянский (PDF) и другие форматы. (Спасибо Риккардо Сиригу)
• v4.0.2
  • Стандарт проверки безопасности приложений OWASP 4.0.2 на немецком языке (PDF) и формат Microsoft Word. (Спасибо Йоргу Брюннеру)
  • Стандарт проверки безопасности приложений OWASP 4.0.2 на русском языке (PDF) и в формате Microsoft Word. (Спасибо Сергею Дьяконову)
• v4.0.1
  • Стандарт проверки безопасности приложений OWASP 4.0.1 на персидском языке (PDF) (спасибо CERT Университета Фирдоуси в Мешхеде / Ардалан Форугипур)
  • Стандарт проверки безопасности приложений OWASP 4.0.1, японский (PDF) (благодаря программному обеспечению ISAC Japan / Riotaro OKADA)
  • Стандарт проверки безопасности приложений OWASP 4.0.1, турецкий (PDF) (спасибо Фатиху ЕРСИНАДИМУ)

Требования были разработаны с учетом следующих целей:

• Помогите организациям принять или адаптировать высококачественный стандарт безопасного кодирования.
• Помогите архитекторам и разработчикам создавать безопасное программное обеспечение, проектируя и встраивая средства безопасности, а также проверяя их работоспособность и эффективность с помощью модульных и интеграционных тестов, реализующих тесты ASVS.
• Помогите развернуть безопасное программное обеспечение с помощью повторяемых защищенных сборок.
• Помогите проверяющим безопасности использовать комплексный, последовательный и высококачественный стандарт для проверок гибридного кода, проверок безопасности кода, одноранговых проверок кода, ретроспектив, а также работать с разработчиками над созданием модульных тестов безопасности и интеграционных тестов. Этот стандарт можно даже использовать для тестирования на проникновение на уровне 1.
• Помогите поставщикам инструментов, обеспечив наличие легко генерируемой машиночитаемой версии с сопоставлениями CWE.
• Помогите организациям протестировать инструменты безопасности приложений по проценту покрытия ASVS для инструментов динамического, интерактивного и статического анализа.
• Сведите к минимуму дублирование и конкурирующие требования других стандартов, либо строго согласовывая их (NIST 800-63), либо создавая их строгие надмножества (OWASP Top 10 2021, PCI DSS 3.2.1), что поможет сократить затраты, усилия и время на соответствие требованиям. тратится впустую, принимая ненужные различия в качестве рисков.

Списки требований ASVS доступны в форматах CSV, JSON и других форматах, которые могут быть полезны для справки или программного использования.

Каждое требование имеет идентификатор в формате <chapter>.<section>.<requirement> , где каждый элемент представляет собой число, например: 1.11.3 :

• Значение <chapter> соответствует главе, из которой взято требование, например: все требования 1.#.# взяты из главы Architecture .
• Значение <section> соответствует разделу в этой главе, в котором появляется требование, например: все 1.11.# находятся в разделе Business Logic Architecture главы Architecture .
• Значение <requirement> идентифицирует конкретное требование в главе и разделе, например: 1.11.3 , которое с версии 4.0.3 этого стандарта:

Убедитесь, что все важные потоки бизнес-логики, включая аутентификацию, управление сеансами и контроль доступа, потокобезопасны и устойчивы к условиям гонки времени проверки и времени использования.

Идентификаторы могут меняться в зависимости от версии стандарта, поэтому предпочтительно, чтобы другие документы, отчеты или инструменты использовали формат: v<version>-<chapter>.<section>.<requirement> , где: «версия» — это ASVS. тег версии. Например: v4.0.3-1.11.3 следует понимать как конкретно третье требование раздела «Архитектура бизнес-логики» главы «Архитектура» из версии 4.0.3. (Это можно обобщить как v<version>-<requirement_identifier> .)

Примечание. Букву v , предшествующую части версии, следует писать строчными буквами.

Если идентификаторы используются без включения элемента v<version> , следует считать, что они относятся к последнему содержимому стандарта проверки безопасности приложений. Очевидно, что по мере роста и изменения стандарта это становится проблематичным, поэтому авторам или разработчикам следует включать элемент версии.

Весь контент проекта находится под лицензией Creative Commons Attribution-Share Alike v4.0 .