OWASP ASVS
Das OWASP Application Security Verification Standard (ASVS) Projekt bietet ein Framework für die Sicherheit von Webanwendungen und Webservices. Es etabliert eine Basis für Sicherheitskontrollen bei Webanwendungen in ihren Design-, Entwicklungs- und Testphasen und bietet Entwicklern, Testern und Architekten eine klare Anleitung zur Erstellung sicherer Anwendungen.
Fordern Sie eine Demo von Secureframe Custom Frameworks anDefinition und Zweck
Das Hauptziel des OWASP ASVS ist es, die Bandbreite an Sicherheitkontrollen zu normalisieren, die beim Entwerfen, Entwickeln und Testen moderner Webanwendungen und Webservices erforderlich sind. Es bietet eine Grundlage für die Prüfung technischer Sicherheitskontrollen von Webanwendungen sowie jeglicher technischer Sicherheitskontrollen in der Umgebung, die zum Schutz, zur Authentifizierung und Verifizierung des Benutzerzugriffs auf Webanwendungen herangezogen werden.
Verantwortliche Stelle
Das Open Web Application Security Project (OWASP) ist die verantwortliche Stelle für ASVS. OWASP ist eine offene Gemeinschaft, die Organisationen dabei unterstützt, vertrauenswürdige Anwendungen zu entwerfen, zu entwickeln, zu erwerben, zu betreiben und zu pflegen.
Zuletzt aktualisiert
Das letzte Update war Version 4.03, die 2019 veröffentlicht wurde. Version 5.0 wurde angekündigt und befindet sich derzeit in der Entwicklung.
Gilt für
Das OWASP ASVS gilt allgemein für Webanwendungen und Webservices, unabhängig von der Branche. Dies schließt Organisationen in den Bereichen Finanzen, Gesundheitswesen, E-Commerce, IT, öffentlicher Sektor und praktisch jede andere Branche ein, die Webanwendungen entwirft, entwickelt oder pflegt.
Kontrollen und Anforderungen
Das ASVS definiert eine Reihe von Sicherheitsanforderungen, die in Domänen gruppiert sind:
- Architektur, Design und Bedrohungsmodellierung
- Authentifizierung
- Sitzungsverwaltung
- Zugriffskontrolle
- Validierung, Bereinigung und Kodierung
- Gespeicherte kryptografische Schutzmaßnahmen
- Fehlerbehandlung und Protokollierung
- Datenschutz
- Kommunikation
- HTTP-Sicherheitskonfiguration
- Bösartige Kontrollen
- Geschäftslogik
- Dateien und Ressourcen
Jede Domäne hat ihre eigenen spezifischen Kontrollen oder Anforderungen. Zum Beispiel kann es innerhalb der Domäne "Authentifizierung" Kontrollen in Bezug auf Passwortkomplexität, Kontosperrmechanismen und Multi-Faktor-Authentifizierung geben.
Bitte konsultieren Sie die offizielle OWASP Application Security Verification Standard Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.
Audit-Typ, Häufigkeit und Dauer
OWASP ASVS-Bewertungen sind typischerweise eine Mischung aus manuellen Überprüfungen und automatisierten Scans, die Quellcodeüberprüfung, Laufzeittest und Überprüfung der Konfigurationsumgebung umfassen.
Die Häufigkeit der Audits hängt vom Entwicklungszyklus, von Änderungen an der Anwendung oder von den spezifischen geschäftlichen oder regulatorischen Anforderungen ab. Typischerweise könnten Sicherheitsbewertungen für wichtige Anwendungsveröffentlichungen oder mindestens einmal im Jahr durchgeführt werden.
Die Dauer des Audits variiert je nach Komplexität und Größe der Anwendung, dem angestrebten Überprüfungsniveau (ASVS hat drei Ebenen) und der erforderlichen Testtiefe.