ASVS 應用程式安全驗證標準(一)、簡介
來自於促進WEB資安的非營利組織 OWASP
OWASP 致力於幫助企業發展、購買和維護WEB應用程式的安全 ─ 而且是非營利組織。不僅提供免費的工具、文件、論壇和書籍,更保持著中立性,不偏頗於某些廠商的商業產品。
什麼是應用程式安全驗證標準(Application Security Verification Standard)?
可翻譯為應用程式安全驗證標準,目標是將市面上的WEB應用程式的諸多安全標準,以相同的指標作正規化的比較。提供一套用以測試不同安全控制措施的基礎,以檢驗他們面對諸多漏洞時的可靠程度(例如 XSS、SQL injection)。你也可以利用這套標準建立不同信任等級的WEB應用程式。目前最新的版本是ASVS 2009。
為何你的組織需要 ASVS ?
ASVS 的方法有哪些?
ASVS 分為四個等級,越高層級所涵蓋的範圍越廣、要求越嚴謹。
如何融入到系統開發生命週期(SDLC)?
----
參考資料:
https://www.owasp.org/index.php/ASVS
OWASP 致力於幫助企業發展、購買和維護WEB應用程式的安全 ─ 而且是非營利組織。不僅提供免費的工具、文件、論壇和書籍,更保持著中立性,不偏頗於某些廠商的商業產品。
什麼是應用程式安全驗證標準(Application Security Verification Standard)?
可翻譯為應用程式安全驗證標準,目標是將市面上的WEB應用程式的諸多安全標準,以相同的指標作正規化的比較。提供一套用以測試不同安全控制措施的基礎,以檢驗他們面對諸多漏洞時的可靠程度(例如 XSS、SQL injection)。你也可以利用這套標準建立不同信任等級的WEB應用程式。目前最新的版本是ASVS 2009。
為何你的組織需要 ASVS ?
- 管理者的評量標準:資安解決方案的比較標準、不同應用程式的信任等級。
- 開發者的參考手冊:開發WEB應用程式時的資安API參考。
- 經營者的採購合約範本:資安檢驗報表、合約範本的參考。
ASVS 的方法有哪些?
ASVS 分為四個等級,越高層級所涵蓋的範圍越廣、要求越嚴謹。
- 等級一的安全要求,大部分自動化工具都可以滿足。
- 等級二的安全要求,著重在人工測試。
- 等級三的安全要求,必須考量到商業邏輯和系統的設計藍圖是否嚴謹。
- 等級四的安全要求,包括第三方套件內所有的程式碼都必須符合等級三的要求。
如何融入到系統開發生命週期(SDLC)?
- 根據您的風險等級,定義安全要求。
- 根據不同應用程式,定義風險等級。
- 實作安全功能。
- 檢查。
- 修正。
- 應用程式風險等級由您定義,並試著對應到ASVS的等級。
- 計畫如何改善您的應用程式以達成ASVS等級的安全要求。(可參考ESAPI)
- 利用我們的ESAPI協助您建立企業的API,整合應用程式中的標準控制項,然後實作適合企業的控制項。利用這些控制項保護您的應用程式。
- 檢查應用程式是否滿足您的計畫。可否避免攻擊,例如:XSS、SQL Injection、CSRF等等。
- 發現弱點了嗎?趁別人還沒發現之前修正吧!
----
參考資料:
https://www.owasp.org/index.php/ASVS
留言
張貼留言