ASVS

本作品根据 Creative Commons Attribution-ShareAlike 4.0 International License 获得许可。

OWASP 应用程序安全验证标准 (ASVS) 项目的主要目标是为所有类型的 Web 应用程序和 Web 服务提供开放的应用程序安全标准。

该标准为设计、构建和测试技术应用程序安全控制提供了基础，包括架构问题、安全开发生命周期、威胁建模、敏捷安全（包括持续集成/部署）、无服务器和配置问题。

我们衷心感谢通过我们的“支持者”页面提供大量时间或财务支持该项目的组织！

如果您发现任何错误或有想法，请记录问题。随后，我们可能会要求您根据问题中的讨论提出拉取请求。我们也在积极寻找 4.n 分支的翻译。

该项目由四位项目负责人 Daniel Cuthbert、Jim Manico、Josh Grossman 和 Elar Lang 领导。

他们得到了 ASVS 工作组的支持，该工作组由 Shanni Prutchi、R​​alph Andalis、Meghan Jacquot、Iman Sharafaldin 和 Ryan Armstrong 组成。

我们现已在此 wiki 页面中发布了 ASVS 5.0 版本的路线图和目标。

最新的稳定版本是版本4.0.3（日期为2021年10月），可以找到：

• OWASP 应用程序安全验证标准 4.0.3 英文版 (PDF)
• OWASP 应用程序安全验证标准 4.0.3 英文 (Word)
• OWASP 应用程序安全验证标准 4.0.3 英文 (CSV)
• OWASP 应用程序安全验证标准 4.0.3（GitHub 标签）

该存储库的主分支将始终是“前沿版本”，可能正在进行正在进行的更改或打开其他编辑。下一个发布目标将是版本5.0 。

有关标准 4.0.2 和 4.0.3 之间的更改的信息，请参阅此 wiki 页面，有关完整差异，请参阅此拉取请求。

OWASP 社区在翻译方面做出了最大的努力。虽然我们尽最大努力确保内容有效，但从结构角度来看，我们能做的就是确保翻译正确。我们依靠社区来帮助 ASVS 尽可能在全球范围内使用，将主分支翻译成您的语言对于该项目非常重要。

如果您认为您可以帮助翻译，或者确实确保下面当前的翻译列表是正确的，我们希望您加入社区，让 ASVS 为所有人带来惊喜。有关翻译 ASVS 的更多信息，请参阅 CONTRIBUTING.md 的翻译部分。

• v4.0.3
  • OWASP 应用程序安全验证标准 4.0.3 西班牙语 (PDF) 和其他格式。 （感谢卡洛斯·阿连德斯和汉斯·埃雷拉）
  • OWASP应用安全验证标准4.0.3简体中文（PDF）等格式。 （感谢Unc1e）
  • OWASP 应用程序安全验证标准 4.0.3 阿拉伯语 (PDF) 和其他格式。 （感谢 Aref Shaheed 和 Mhd Ghassan Alhabash）
  • OWASP 应用程序安全验证标准 4.0.3 俄语 (PDF) 和其他格式。 （感谢安德烈·蒂托夫）
  • OWASP 应用程序安全验证标准 4.0.3 法语 (PDF) 和其他格式。 （感谢 Cédric Lallier、Alexandre Joly、Sebastien Gioria 和 Marc Aubry）
  • OWASP 应用程序安全验证标准 4.0.3 德语 (PDF) 和其他格式。 （感谢约尔格·布伦纳）
  • OWASP 应用程序安全验证标准 4.0.3 葡萄牙语 (PDF) 和其他格式。 （感谢塞萨尔·科尔）
  • OWASP 应用程序安全验证标准 4.0.3 意大利语 (PDF) 和其他格式。 （感谢里卡多·西里古）
• v4.0.2
  • OWASP 应用程序安全验证标准 4.0.2 德语 (PDF) 和 Microsoft Word 格式。 （感谢约尔格·布伦纳）
  • OWASP 应用程序安全验证标准 4.0.2 俄语 (PDF) 和 Microsoft Word 格式。 （感谢谢尔盖·迪亚科诺夫）
• v4.0.1
  • OWASP 应用程序安全验证标准 4.0.1 波斯语 (PDF)（感谢马什哈德 Ferdowsi 大学 CERT / Ardalan Foroughipour）
  • OWASP 应用程序安全验证标准 4.0.1 日语 (PDF)（感谢 Software ISAC Japan / Riotaro OKADA）
  • OWASP 应用程序安全验证标准 4.0.1 土耳其语 (PDF)（感谢 Fatih ERSINADIM）

制定这些要求时考虑到以下目标：

• 帮助组织采用或适应高质量的安全编码标准
• 通过设计和构建安全性，并通过使用实施 ASVS 测试的单元和集成测试来验证它们是否到位和有效，帮助架构师和开发人员构建安全的软件
• 通过使用可重复的安全构建来帮助部署安全软件
• 帮助安全审查人员使用全面、一致、高质量的标准进行混合代码审查、安全代码审查、同行代码审查、回顾，并与开发人员合作构建安全单元和集成测试。甚至可以使用该标准进行 1 级渗透测试
• 通过确保有一个易于生成的机器可读版本（带有 CWE 映射）来协助工具供应商
• 协助组织通过动态、交互式和静态分析工具的 ASVS 覆盖百分比来对应用程序安全工具进行基准测试
• 通过与其他标准紧密结合 (NIST 800-63) 或成为严格的超集（OWASP Top 10 2021、PCI DSS 3.2.1），最大限度地减少与其他标准的重叠和竞争要求，这将有助于减少合规成本、工作量和时间将不必要的差异视为风险是浪费的。

ASVS 要求列表以 CSV、JSON 和其他格式提供，可能有助于参考或编程使用。

每个需求都有一个格式为<chapter>.<section>.<requirement>标识符，其中每个元素都是一个数字，例如： 1.11.3 ：

• <chapter>值对应于需求来自的章节，例如：所有1.#.#需求都来自Architecture章节。
• <section>值对应于该章中出现需求的部分，例如：所有1.11.#需求都位于Architecture一章的Business Logic Architecture部分中。
• <requirement>值标识章节中的具体要求，例如： 1.11.3 ，从本标准的 4.0.3 版本开始为：

验证所有高价值业务逻辑流（包括身份验证、会话管理和访问控制）都是线程安全的，并且能够抵抗检查时间和使用时间竞争条件。

标准版本之间的标识符可能会发生变化，因此其他文档、报告或工具最好使用以下格式： v<version>-<chapter>.<section>.<requirement> ，其中：“version”是 ASVS版本标签。例如： v4.0.3-1.11.3将被理解为具体表示版本 4.0.3 中“架构”一章的“业务逻辑架构”部分中的第三个要求。 （这可以概括为v<version>-<requirement_identifier> 。）

注意：版本部分前面的v应小写。

如果使用的标识符不包含v<version>元素，则应假定它们引用最新的应用程序安全验证标准内容。显然，随着标准的发展和变化，这会成为问题，这就是为什么编写者或开发人员应该包含版本元素。

整个项目内容均遵循知识共享署名-相同方式共享 v4.0许可证。