hero-two-bg

OWASP ASVS

El Proyecto de Estándar de Verificación de Seguridad de Aplicaciones de OWASP (ASVS) proporciona un marco para la seguridad de aplicaciones web y servicios web. Establece una línea base de control de seguridad para las aplicaciones web en sus fases de diseño, desarrollo y prueba, brindando a desarrolladores, testers y arquitectos una hoja de ruta clara para crear aplicaciones seguras.

Solicitar una demostración de Secureframe Custom Frameworksangle-right

Definición y propósito

El objetivo principal del OWASP ASVS es normalizar la gama de controles de seguridad necesarios al diseñar, desarrollar y probar aplicaciones web modernas y servicios web. Ofrece una base para probar controles de seguridad técnica de aplicaciones web, así como cualquier control técnico de seguridad en el entorno, que se basan en proteger, autenticar y verificar el acceso de los usuarios a las aplicaciones web.

Órgano de Gobierno

El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) es el órgano de gobierno para ASVS. OWASP es una comunidad abierta dedicada a capacitar a las organizaciones para concebir, desarrollar, adquirir, operar y mantener aplicaciones confiables.

Última actualización

La actualización más reciente fue la versión 4.03 lanzada en 2019. La versión 5.0 ha sido anunciada y actualmente se está desarrollando.

Se aplica a

El OWASP ASVS se aplica ampliamente a aplicaciones web y servicios web, independientemente de la industria. Esto incluye organizaciones en finanzas, salud, comercio electrónico, TI, sector público y prácticamente cualquier otra industria que diseñe, desarrolle o mantenga aplicaciones web.

Controles y requisitos

El ASVS define una serie de requisitos de seguridad agrupados en dominios:

  • Arquitectura, Diseño y Modelado de Amenazas
  • Autenticación
  • Gestión de Sesiones
  • Control de Acceso
  • Validación, Saneamiento y Codificación
  • Protecciones Criptográficas Almacenadas
  • Manejo y Registro de Errores
  • Protección de Datos
  • Comunicaciones
  • Configuración de Seguridad HTTP
  • Controles Maliciosos
  • Lógica Empresarial
  • Archivos y Recursos

Cada dominio tiene sus propios controles o requisitos específicos. Por ejemplo, dentro del dominio "Autenticación", puede haber controles relacionados con la complejidad de las contraseñas, mecanismos de bloqueo de cuentas y autenticación multifactor.

Consulte la documentación oficial del Estándar de Verificación de Seguridad de Aplicaciones de OWASP para obtener una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

Las evaluaciones de OWASP ASVS son típicamente una mezcla de revisiones manuales y escaneos automáticos, abarcando la revisión del código fuente, pruebas en tiempo de ejecución y examen de la configuración del entorno.

La frecuencia de las auditorías depende del ciclo de vida del desarrollo, cualquier cambio realizado en la aplicación, o los requisitos comerciales o regulatorios específicos. Normalmente, las evaluaciones de seguridad podrían llevarse a cabo para lanzamientos importantes de aplicaciones o al menos una vez al año.

La duración de la auditoría varía según la complejidad y el tamaño de la aplicación, el nivel específico de verificación buscado (ASVS tiene tres niveles), y la profundidad de las pruebas requeridas.

Cumpla con Secureframe Custom Frameworks

Solicite una demostraciónangle-right
cta-bg