Definition und Zweck

Das Hauptziel des OWASP ASVS ist es, die Bandbreite an Sicherheitkontrollen zu normalisieren, die beim Entwerfen, Entwickeln und Testen moderner Webanwendungen und Webservices erforderlich sind. Es bietet eine Grundlage für die Prüfung technischer Sicherheitskontrollen von Webanwendungen sowie jeglicher technischer Sicherheitskontrollen in der Umgebung, die zum Schutz, zur Authentifizierung und Verifizierung des Benutzerzugriffs auf Webanwendungen herangezogen werden.

Verantwortliche Stelle

Das Open Web Application Security Project (OWASP) ist die verantwortliche Stelle für ASVS. OWASP ist eine offene Gemeinschaft, die Organisationen dabei unterstützt, vertrauenswürdige Anwendungen zu entwerfen, zu entwickeln, zu erwerben, zu betreiben und zu pflegen.

Zuletzt aktualisiert

Das letzte Update war Version 4.03, die 2019 veröffentlicht wurde. Version 5.0 wurde angekündigt und befindet sich derzeit in der Entwicklung.

Gilt für

Das OWASP ASVS gilt allgemein für Webanwendungen und Webservices, unabhängig von der Branche. Dies schließt Organisationen in den Bereichen Finanzen, Gesundheitswesen, E-Commerce, IT, öffentlicher Sektor und praktisch jede andere Branche ein, die Webanwendungen entwirft, entwickelt oder pflegt.

Kontrollen und Anforderungen

Das ASVS definiert eine Reihe von Sicherheitsanforderungen, die in Domänen gruppiert sind:

• Architektur, Design und Bedrohungsmodellierung
• Authentifizierung
• Sitzungsverwaltung
• Zugriffskontrolle
• Validierung, Bereinigung und Kodierung
• Gespeicherte kryptografische Schutzmaßnahmen
• Fehlerbehandlung und Protokollierung
• Datenschutz
• Kommunikation
• HTTP-Sicherheitskonfiguration
• Bösartige Kontrollen
• Geschäftslogik
• Dateien und Ressourcen

Jede Domäne hat ihre eigenen spezifischen Kontrollen oder Anforderungen. Zum Beispiel kann es innerhalb der Domäne "Authentifizierung" Kontrollen in Bezug auf Passwortkomplexität, Kontosperrmechanismen und Multi-Faktor-Authentifizierung geben.

Bitte konsultieren Sie die offizielle OWASP Application Security Verification Standard Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.

Audit-Typ, Häufigkeit und Dauer

OWASP ASVS-Bewertungen sind typischerweise eine Mischung aus manuellen Überprüfungen und automatisierten Scans, die Quellcodeüberprüfung, Laufzeittest und Überprüfung der Konfigurationsumgebung umfassen.

Die Häufigkeit der Audits hängt vom Entwicklungszyklus, von Änderungen an der Anwendung oder von den spezifischen geschäftlichen oder regulatorischen Anforderungen ab. Typischerweise könnten Sicherheitsbewertungen für wichtige Anwendungsveröffentlichungen oder mindestens einmal im Jahr durchgeführt werden.

Die Dauer des Audits variiert je nach Komplexität und Größe der Anwendung, dem angestrebten Überprüfungsniveau (ASVS hat drei Ebenen) und der erforderlichen Testtiefe.