OWASP ASVS
El Proyecto de Estándar de Verificación de Seguridad de Aplicaciones de OWASP (ASVS) proporciona un marco para la seguridad de aplicaciones web y servicios web. Establece una línea base de control de seguridad para las aplicaciones web en sus fases de diseño, desarrollo y prueba, brindando a desarrolladores, testers y arquitectos una hoja de ruta clara para crear aplicaciones seguras.
Solicitar una demostración de Secureframe Custom FrameworksDefinición y propósito
El objetivo principal del OWASP ASVS es normalizar la gama de controles de seguridad necesarios al diseñar, desarrollar y probar aplicaciones web modernas y servicios web. Ofrece una base para probar controles de seguridad técnica de aplicaciones web, así como cualquier control técnico de seguridad en el entorno, que se basan en proteger, autenticar y verificar el acceso de los usuarios a las aplicaciones web.
Órgano de Gobierno
El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) es el órgano de gobierno para ASVS. OWASP es una comunidad abierta dedicada a capacitar a las organizaciones para concebir, desarrollar, adquirir, operar y mantener aplicaciones confiables.
Última actualización
La actualización más reciente fue la versión 4.03 lanzada en 2019. La versión 5.0 ha sido anunciada y actualmente se está desarrollando.
Se aplica a
El OWASP ASVS se aplica ampliamente a aplicaciones web y servicios web, independientemente de la industria. Esto incluye organizaciones en finanzas, salud, comercio electrónico, TI, sector público y prácticamente cualquier otra industria que diseñe, desarrolle o mantenga aplicaciones web.
Controles y requisitos
El ASVS define una serie de requisitos de seguridad agrupados en dominios:
- Arquitectura, Diseño y Modelado de Amenazas
- Autenticación
- Gestión de Sesiones
- Control de Acceso
- Validación, Saneamiento y Codificación
- Protecciones Criptográficas Almacenadas
- Manejo y Registro de Errores
- Protección de Datos
- Comunicaciones
- Configuración de Seguridad HTTP
- Controles Maliciosos
- Lógica Empresarial
- Archivos y Recursos
Cada dominio tiene sus propios controles o requisitos específicos. Por ejemplo, dentro del dominio "Autenticación", puede haber controles relacionados con la complejidad de las contraseñas, mecanismos de bloqueo de cuentas y autenticación multifactor.
Consulte la documentación oficial del Estándar de Verificación de Seguridad de Aplicaciones de OWASP para obtener una lista detallada de controles y requisitos.
Tipo de auditoría, frecuencia y duración
Las evaluaciones de OWASP ASVS son típicamente una mezcla de revisiones manuales y escaneos automáticos, abarcando la revisión del código fuente, pruebas en tiempo de ejecución y examen de la configuración del entorno.
La frecuencia de las auditorías depende del ciclo de vida del desarrollo, cualquier cambio realizado en la aplicación, o los requisitos comerciales o regulatorios específicos. Normalmente, las evaluaciones de seguridad podrían llevarse a cabo para lanzamientos importantes de aplicaciones o al menos una vez al año.
La duración de la auditoría varía según la complejidad y el tamaño de la aplicación, el nivel específico de verificación buscado (ASVS tiene tres niveles), y la profundidad de las pruebas requeridas.