ASVS 應用程式安全驗證標準(二)、Level 1 簡介

ASVS Level 1 自動化驗證(Automated Verification)
若你對應用程式的 安全控制措施(Security Control) 有一般程度的信任,且你相信面對的威脅大部分來自非針對性、散佈廣泛的病毒及蠕蟲。你應該將Level 1 的檢驗範圍設定為應用程式本身的程式碼。

本階段的目標是正確的檢視自動化工具的檢測結果,使用人工方式校對,確認檢測結果正確指出應用程式的弱點而不是誤報(false postive)。因應不同檢測方法,本階段又分為"Level 1A動態掃描"和"Level 1B靜態(源碼)掃描"。只有完成兩種方法的所有的安全要求才算滿足Level 1。
ASVS Level 1 資安架構範例

ASVS Level 1 的要求項目:
檢測範圍:
  • L1.1 應用程式本身的程式碼。(不包含third party libraries、 framework。)
安全控制措施的行為要求:
  • 無。
安全控制措施的使用要求:
  • 無。
安全控制措施的實作要求:
  • 無。
安全控制措施的驗證要求:
  • L1.2 依照"驗證要求細項(Detail Verification Requirements)"檢查動態檢測的結果。
  • L1.3 依照"驗證求細項"檢查靜態檢測的結果。
檢測報表的要求:
Level 1 應用程式的元件包括原始碼、函式庫、可執行檔...等等。你並不需要列出所有元件之間的關係,只需要列出哪些元件屬於應用程式本身,哪些屬於IT環境。而且也不需要花時間確認,應用程式上各種服務的執行路徑或資料傳輸路徑。

下周將為你介紹何謂"Level 1A & 1B",以及驗證要求細項。

參考資料
----
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
http://en.wikipedia.org/wiki/Security_controls
https://www.owasp.org/index.php/How_to_meet_verification_reporting_requirements

留言

這個網誌中的熱門文章

資安JAVA(十一):X-XSS-Protection

資安JAVA(十):X-Content-Type-Options

資安JAVA(十二):Log Forging