หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

มาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชัน OWASP

งานนี้ได้รับอนุญาตภายใต้ Creative Commons Attribution-ShareAlike 4.0 International License

การแนะนำ

จุดมุ่งหมายหลักของโครงการมาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชัน OWASP (ASVS) คือการจัดหามาตรฐานความปลอดภัยของแอปพลิเคชันแบบเปิดสำหรับเว็บแอปและบริการเว็บทุกประเภท

มาตรฐานดังกล่าวเป็นพื้นฐานสำหรับการออกแบบ การสร้าง และการทดสอบการควบคุมความปลอดภัยของแอปพลิเคชันทางเทคนิค รวมถึงข้อกังวลทางสถาปัตยกรรม วงจรการพัฒนาที่ปลอดภัย การสร้างแบบจำลองภัยคุกคาม การรักษาความปลอดภัยที่คล่องตัว รวมถึงการรวม/ปรับใช้อย่างต่อเนื่อง ไร้เซิร์ฟเวอร์ และข้อกังวลด้านการกำหนดค่า

เรารู้สึกขอบคุณองค์กรที่สนับสนุนโครงการทั้งผ่านการจัดสรรเวลาอันสำคัญหรือทางการเงินในหน้า "ผู้สนับสนุน" ของเรา!

กรุณาบันทึกปัญหาหากคุณพบข้อบกพร่องใด ๆ หรือมีความคิด เราอาจขอให้คุณเปิดคำขอดึงข้อมูลตามการสนทนาในประเด็นในภายหลัง เรายังมองหาคำแปลของสาขา 4.n อย่างจริงจังอีกด้วย

ผู้นำโครงการและคณะทำงาน

โครงการนี้นำโดยหัวหน้าโครงการสี่คน ได้แก่ Daniel Cuthbert, Jim Manico, Josh Grossman และ Elar Lang

พวกเขาได้รับการสนับสนุนจากคณะทำงาน ASVS ซึ่งประกอบด้วย Shanni Prutchi, Ralph Andalis, Meghan Jacquot, Iman Sharafaldin และ Ryan Armstrong

แผนงานสู่ ASVS 5.0

ขณะนี้เราได้เผยแพร่แผนงานและวัตถุประสงค์สำหรับ ASVS เวอร์ชัน 5.0 ในหน้าวิกินี้

เวอร์ชันเสถียรล่าสุด - 4.0.3

เวอร์ชันเสถียรล่าสุดคือเวอร์ชัน 4.0.3 (ลงวันที่ตุลาคม 2021) ซึ่งสามารถพบได้:

  • มาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชัน OWASP 4.0.3 ภาษาอังกฤษ (PDF)
  • มาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชัน OWASP 4.0.3 ภาษาอังกฤษ (Word)
  • มาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชัน OWASP 4.0.3 ภาษาอังกฤษ (CSV)
  • มาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชัน OWASP 4.0.3 (แท็ก GitHub)

สาขาหลักของพื้นที่เก็บข้อมูลนี้จะเป็น "เวอร์ชันตกเลือด" เสมอซึ่งอาจมีการเปลี่ยนแปลงที่อยู่ระหว่างดำเนินการหรือการแก้ไขอื่นๆ เปิดอยู่ เป้าหมายการเปิดตัวครั้งถัดไปจะเป็นเวอร์ชัน 5.0

สำหรับข้อมูลเกี่ยวกับการเปลี่ยนแปลงระหว่าง 4.0.2 และ 4.0.3 ของมาตรฐาน โปรดดูหน้าวิกินี้ และสำหรับความแตกต่างทั้งหมด โปรดดูคำขอดึงนี้

การแปล

ความพยายามของชุมชน OWASP ที่เกี่ยวข้องกับการแปลถือเป็นความพยายามอย่างดีที่สุด แม้ว่าเราจะพยายามอย่างเต็มที่เพื่อให้แน่ใจว่าเนื้อหาถูกต้อง แต่จากมุมมองเชิงโครงสร้าง เรายังทำได้หลายอย่างเพื่อให้แน่ใจว่าคำแปลนั้นถูกต้อง เราไว้วางใจคุณซึ่งเป็นชุมชนในการช่วยทำให้ ASVS ใช้งานได้ทั่วโลกมากที่สุดเท่าที่จะเป็นไปได้ และการแปลสาขาหลักเป็นภาษาของคุณเป็นสิ่งสำคัญสำหรับโครงการ

หากคุณคิดว่าคุณสามารถช่วยแปลได้ หรือมั่นใจว่ารายการคำแปลปัจจุบันด้านล่างถูกต้อง เรายินดีอย่างยิ่งที่จะให้คุณเข้าร่วมชุมชนและทำให้ ASVS น่าทึ่งสำหรับทุกคน สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการแปล ASVS โปรดดูส่วนการแปลของ CONTRIBUTING.md

  • เวอร์ชัน 4.0.3
    • OWASP Application Security Verification Standard 4.0.3 ภาษาสเปน (PDF) และรูปแบบอื่นๆ (ขอบคุณคาร์ลอส อัลเลนเดส และฮันส์ เอร์เรรา)
    • OWASP Application Security Verification Standard 4.0.3 จีนตัวย่อ (PDF) และรูปแบบอื่นๆ (ขอบคุณ Unc1e)
    • OWASP Application Security Verification Standard 4.0.3 ภาษาอาหรับ (PDF) และรูปแบบอื่นๆ (ขอบคุณ Aref Shaheed และ Mhd Ghassan Alhabash)
    • OWASP Application Security Verification Standard 4.0.3 ภาษารัสเซีย (PDF) และรูปแบบอื่นๆ (ขอบคุณ Andrei Titov)
    • OWASP Application Security Verification Standard 4.0.3 ภาษาฝรั่งเศส (PDF) และรูปแบบอื่นๆ (ขอบคุณ Cédric Lallier, Alexandre Joly, Sebastien Gioria และ Marc Aubry)
    • OWASP Application Security Verification Standard 4.0.3 ภาษาเยอรมัน (PDF) และรูปแบบอื่นๆ (ขอบคุณ ยอร์ก บรุนเนอร์)
    • OWASP Application Security Verification Standard 4.0.3 ภาษาโปรตุเกส (PDF) และรูปแบบอื่นๆ (ขอบคุณซีซาร์ โคห์ล)
    • OWASP Application Security Verification Standard 4.0.3 ภาษาอิตาลี (PDF) และรูปแบบอื่นๆ (ขอบคุณ ริคคาร์โด้ ซิริกู)
  • เวอร์ชัน 4.0.2
    • OWASP Application Security Verification Standard 4.0.2 รูปแบบภาษาเยอรมัน (PDF) และ Microsoft Word (ขอบคุณ ยอร์ก บรุนเนอร์)
    • OWASP Application Security Verification Standard 4.0.2 รูปแบบภาษารัสเซีย (PDF) และ Microsoft Word (ขอบคุณเซอร์เกย์ ดิอาโคนอฟ)
  • เวอร์ชัน 4.0.1
    • มาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชัน OWASP 4.0.1 เปอร์เซีย (PDF) (ขอบคุณ CERT ของ Ferdowsi University of Mashhad / Ardalan Foroughipour)
    • มาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชัน OWASP 4.0.1 ภาษาญี่ปุ่น (PDF) (ขอบคุณซอฟต์แวร์ ISAC Japan / Riotaro OKADA)
    • มาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชัน OWASP 4.0.1 ตุรกี (PDF) (ขอบคุณ Fatih ERSINADIM)

วัตถุประสงค์มาตรฐาน

ข้อกำหนดได้รับการพัฒนาโดยคำนึงถึงวัตถุประสงค์ต่อไปนี้:

  • ช่วยให้องค์กรปรับใช้หรือปรับเปลี่ยนมาตรฐานการเข้ารหัสคุณภาพสูงที่ปลอดภัย
  • ช่วยสถาปนิกและนักพัฒนาสร้างซอฟต์แวร์ที่ปลอดภัยโดยการออกแบบและสร้างความปลอดภัยภายใน และตรวจสอบว่าซอฟต์แวร์เหล่านั้นพร้อมใช้งานและมีประสิทธิภาพโดยการใช้การทดสอบหน่วยและการรวมที่ใช้การทดสอบ ASVS
  • ช่วยปรับใช้ซอฟต์แวร์ที่ปลอดภัยผ่านการใช้บิลด์ที่ปลอดภัยและทำซ้ำได้
  • ช่วยให้ผู้ตรวจสอบความปลอดภัยใช้มาตรฐานคุณภาพสูงที่ครอบคลุม สอดคล้องกัน สำหรับการตรวจสอบโค้ดแบบไฮบริด การตรวจสอบโค้ดที่ปลอดภัย การตรวจสอบโค้ดเพียร์ การตรวจสอบย้อนหลัง และทำงานร่วมกับนักพัฒนาเพื่อสร้างหน่วยความปลอดภัยและการทดสอบการรวม สามารถใช้มาตรฐานนี้สำหรับการทดสอบการเจาะที่ระดับ 1 ได้
  • ช่วยเหลือผู้จำหน่ายเครื่องมือโดยตรวจสอบให้แน่ใจว่ามีเวอร์ชันที่เครื่องสามารถอ่านได้ง่าย พร้อมการแมป CWE
  • ช่วยให้องค์กรต่างๆ เปรียบเทียบเครื่องมือความปลอดภัยของแอปพลิเคชันตามเปอร์เซ็นต์ความครอบคลุมของ ASVS สำหรับเครื่องมือวิเคราะห์แบบไดนามิก แบบโต้ตอบ และแบบคงที่
  • ลดข้อกำหนดที่ทับซ้อนกันและแข่งขันกันจากมาตรฐานอื่นๆ ให้เหลือน้อยที่สุด โดยจัดให้สอดคล้องอย่างยิ่งกับข้อกำหนดเหล่านั้น (NIST 800-63) หรือเป็นชุดขั้นสูงที่เข้มงวด (OWASP Top 10 2021, PCI DSS 3.2.1) ซึ่งจะช่วยลดค่าใช้จ่าย ความพยายาม และเวลาในการปฏิบัติตามกฎระเบียบ เสียเปล่าไปกับการยอมรับความแตกต่างที่ไม่จำเป็นเป็นความเสี่ยง

รายการข้อกำหนด ASVS มีให้ในรูปแบบ CSV, JSON และรูปแบบอื่นๆ ซึ่งอาจเป็นประโยชน์สำหรับการอ้างอิงหรือการใช้งานแบบเป็นโปรแกรม

วิธีอ้างอิงข้อกำหนด ASVS

ข้อกำหนดแต่ละข้อมีตัวระบุในรูปแบบ <chapter>.<section>.<requirement> โดยที่แต่ละองค์ประกอบเป็นตัวเลข เช่น: 1.11.3 :

  • ค่า <chapter> สอดคล้องกับบทที่มีข้อกำหนดมา เช่น ข้อกำหนด 1.#.# ทั้งหมดมาจากบท Architecture
  • ค่า <section> สอดคล้องกับส่วนภายในบทนั้นที่มีข้อกำหนดปรากฏขึ้น ตัวอย่างเช่น ข้อกำหนด 1.11.# ทั้งหมดอยู่ในส่วน Business Logic Architecture ของบท Architecture
  • ค่า <requirement> ระบุข้อกำหนดเฉพาะภายในบทและส่วน ตัวอย่างเช่น: 1.11.3 ซึ่งในเวอร์ชัน 4.0.3 ของมาตรฐานนี้คือ:

ตรวจสอบว่าโฟลว์ตรรกะทางธุรกิจที่มีมูลค่าสูงทั้งหมด รวมถึงการตรวจสอบสิทธิ์ การจัดการเซสชัน และการควบคุมการเข้าถึงนั้นปลอดภัยสำหรับเธรด และทนทานต่อสภาวะเวลาตรวจสอบและการแข่งขันเวลาใช้งาน

ตัวระบุอาจเปลี่ยนแปลงระหว่างเวอร์ชันของมาตรฐาน ดังนั้นจึงควรใช้เอกสาร รายงาน หรือเครื่องมืออื่นๆ ในรูปแบบ: v<version>-<chapter>.<section>.<requirement> โดยที่: 'version' คือ ASVS แท็กเวอร์ชัน ตัวอย่างเช่น: v4.0.3-1.11.3 เข้าใจว่าหมายถึงข้อกำหนดที่ 3 โดยเฉพาะในส่วน 'สถาปัตยกรรมลอจิกธุรกิจ' ของบท 'สถาปัตยกรรม' จากเวอร์ชัน 4.0.3 (ซึ่งสามารถสรุปเป็น v<version>-<requirement_identifier> )

หมายเหตุ: v ที่อยู่ข้างหน้าส่วนของเวอร์ชันจะต้องเป็นตัวพิมพ์เล็ก

หากใช้ตัวระบุโดยไม่รวมองค์ประกอบ v<version> ก็ควรถือว่าตัวระบุนั้นอ้างอิงถึงเนื้อหามาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชันล่าสุด แน่นอนว่าเมื่อมาตรฐานเติบโตขึ้นและการเปลี่ยนแปลง สิ่งนี้จะกลายเป็นปัญหา ซึ่งเป็นเหตุผลว่าทำไมผู้เขียนหรือนักพัฒนาจึงควรรวมองค์ประกอบเวอร์ชันด้วย

ใบอนุญาต

เนื้อหาโครงการทั้งหมดอยู่ภายใต้ใบอนุญาต Creative Commons Attribution-Share Alike v4.0

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด