ASVS

本作品根據 Creative Commons Attribution-ShareAlike 4.0 International License 授權。

OWASP 應用程式安全驗證標準 (ASVS) 專案的主要目標是為所有類型的 Web 應用程式和 Web 服務提供開放的應用程式安全標準。

該標準為設計、建置和測試技術應用程式安全控制提供了基礎，包括架構問題、安全開發生命週期、威脅建模、敏捷安全（包括持續整合/部署）、無伺服器和配置問題。

我們衷心感謝透過我們的「支持者」頁面提供大量時間或財務支持該專案的組織！

如果您發現任何錯誤或有想法，請記錄問題。隨後，我們可能會要求您根據問題中的討論提出拉取請求。我們也積極尋找 4.n 分支的翻譯。

該專案由四位專案負責人 Daniel Cuthbert、Jim Manico、Josh Grossman 和 Elar Lang 領導。

他們得到了 ASVS 工作組的支持，該工作組由 Shanni Prutchi、R​​​​alph Andalis、Meghan Jacquot、Iman Sharafaldin 和 Ryan Armstrong 組成。

我們現在已在此 wiki 頁面中發布了 ASVS 5.0 版本的路線圖和目標。

最新的穩定版本是版本4.0.3（日期為2021年10月），可以找到：

• OWASP 應用程式安全驗證標準 4.0.3 英文版 (PDF)
• OWASP 應用程式安全驗證標準 4.0.3 英文 (Word)
• OWASP 應用程式安全驗證標準 4.0.3 英文 (CSV)
• OWASP 應用程式安全驗證標準 4.0.3（GitHub 標籤）

此儲存庫的主分支將始終是“前緣版本”，可能正在進行正在進行的變更或開啟其他編輯。下一個發布目標將是版本5.0 。

有關標準 4.0.2 和 4.0.3 之間的更改的信息，請參閱此 wiki 頁面，有關完整差異，請參閱此拉取請求。

OWASP 社群在翻譯方面做出了最大的努力。雖然我們盡最大努力確保內容有效，但從結構角度來看，我們能做的就是確保翻譯正確。我們依靠社群來幫助 ASVS 盡可能在全球範圍內使用，將主分支翻譯成您的語言對於該專案非常重要。

如果您認為您可以幫助翻譯，或者確實確保下面當前的翻譯清單是正確的，我們希望您加入社區，讓 ASVS 為所有人帶來驚喜。有關翻譯 ASVS 的更多信息，請參閱 CONTRIBUTING.md 的翻譯部分。

• v4.0.3
  • OWASP 應用程式安全驗證標準 4.0.3 西班牙語 (PDF) 和其他格式。 （感謝卡洛斯·阿連德斯和漢斯·埃雷拉）
  • OWASP應用安全驗證標準4.0.3簡體中文（PDF）等格式。 （感謝Unc1e）
  • OWASP 應用程式安全驗證標準 4.0.3 阿拉伯語 (PDF) 和其他格式。 （感謝 Aref Shaheed 和 Mhd Ghassan Alhabash）
  • OWASP 應用程式安全驗證標準 4.0.3 俄語 (PDF) 和其他格式。 （感謝安德烈·蒂托夫）
  • OWASP 應用程式安全驗證標準 4.0.3 法語 (PDF) 和其他格式。 （感謝 Cédric Lallier、Alexandre Joly、Sebastien Gioria 和 Marc Aubry）
  • OWASP 應用程式安全驗證標準 4.0.3 德語 (PDF) 和其他格式。 （感謝約爾格·布倫納）
  • OWASP 應用程式安全驗證標準 4.0.3 葡萄牙語 (PDF) 和其他格式。 （感謝塞薩爾·科爾）
  • OWASP 應用程式安全驗證標準 4.0.3 義大利語 (PDF) 和其他格式。 （感謝里卡多·西里古）
• v4.0.2
  • OWASP 應用程式安全驗證標準 4.0.2 德語 (PDF) 和 Microsoft Word 格式。 （感謝約爾格·布倫納）
  • OWASP 應用程式安全驗證標準 4.0.2 俄語 (PDF) 和 Microsoft Word 格式。 （感謝謝爾蓋·迪亞科諾夫）
• v4.0.1
  • OWASP 應用程式安全驗證標準 4.0.1 波斯語 (PDF)（感謝馬什哈德 Ferdowsi 大學 CERT / Ardalan Foroughipour）
  • OWASP 應用程式安全驗證標準 4.0.1 日文 (PDF)（感謝 Software ISAC Japan / Riotaro OKADA）
  • OWASP 應用程式安全驗證標準 4.0.1 土耳其語 (PDF)（感謝 Fatih ERSINADIM）

在製定這些要求時考慮以下目標：

• 幫助組織採用或適應高品質的安全編碼標準
• 透過設計和建構安全性，並透過使用實施 ASVS 測試的單元和整合測試來驗證它們是否到位和有效，幫助架構師和開發人員建立安全的軟體
• 透過使用可重複的安全建置來幫助部署安全軟體
• 幫助安全審查人員使用全面、一致、高品質的標準進行混合程式碼審查、安全程式碼審查、同儕程式碼審查、回顧，並與開發人員合作建立安全單元和整合測試。甚至可以使用該標準進行 1 級滲透測試
• 透過確保有一個易於產生的機器可讀版本（帶有 CWE 映射）來協助工具供應商
• 協助組織透過動態、互動式和靜態分析工具的 ASVS 覆蓋百分比來對應用程式安全工具進行基準測試
• 透過與其他標準緊密結合(NIST 800-63) 或成為嚴格的超集（OWASP Top 10 2021、PCI DSS 3.2.1），最大限度地減少與其他標準的重疊和競爭要求，這將有助於減少合規成本、工作量和時間將不必要的差異視為風險是浪費的。

ASVS 要求清單以 CSV、JSON 和其他格式提供，可能有助於參考或程式使用。

每個需求都有一個格式為<chapter>.<section>.<requirement>標識符，其中每個元素都是一個數字，例如： 1.11.3 ：

• <chapter>值對應於需求來自的章節，例如：所有1.#.#需求都來自Architecture章節。
• <section>值對應於該章中出現需求的部分，例如：所有1.11.#需求都位於Architecture一章的Business Logic Architecture部分。
• <requirement>值標識章節中的具體要求，例如： 1.11.3 ，從本標準的 4.0.3 版本開始為：

驗證所有高價值業務邏輯流（包括身份驗證、會話管理和存取控制）都是執行緒安全的，並且能夠抵抗檢查時間和使用時間競爭條件。

標準版本之間的識別碼可能會發生變化，因此其他文件、報表或工具最好使用下列格式： v<version>-<chapter>.<section>.<requirement> ，其中：「version」是 ASVS版本標籤。例如： v4.0.3-1.11.3將被理解為具體表示版本 4.0.3 中「架構」一章的「業務邏輯架構」部分中的第三個要求。 （這可以概括為v<version>-<requirement_identifier> 。）

注意：版本部分前面的v應小寫。

如果使用的識別碼不包含v<version>元素，則應假定它們引用最新的應用程式安全驗證標準內容。顯然，隨著標準的發展和變化，這會成為問題，這就是為什麼編寫者或開發人員應該包含版本元素。

整個專案內容均遵循知識共享署名-相同方式分享 v4.0授權。