Definición y propósito

El objetivo principal del OWASP ASVS es normalizar la gama de controles de seguridad necesarios al diseñar, desarrollar y probar aplicaciones web modernas y servicios web. Ofrece una base para probar controles de seguridad técnica de aplicaciones web, así como cualquier control técnico de seguridad en el entorno, que se basan en proteger, autenticar y verificar el acceso de los usuarios a las aplicaciones web.

Órgano de Gobierno

El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) es el órgano de gobierno para ASVS. OWASP es una comunidad abierta dedicada a capacitar a las organizaciones para concebir, desarrollar, adquirir, operar y mantener aplicaciones confiables.

Última actualización

La actualización más reciente fue la versión 4.03 lanzada en 2019. La versión 5.0 ha sido anunciada y actualmente se está desarrollando.

Se aplica a

El OWASP ASVS se aplica ampliamente a aplicaciones web y servicios web, independientemente de la industria. Esto incluye organizaciones en finanzas, salud, comercio electrónico, TI, sector público y prácticamente cualquier otra industria que diseñe, desarrolle o mantenga aplicaciones web.

Controles y requisitos

El ASVS define una serie de requisitos de seguridad agrupados en dominios:

• Arquitectura, Diseño y Modelado de Amenazas
• Autenticación
• Gestión de Sesiones
• Control de Acceso
• Validación, Saneamiento y Codificación
• Protecciones Criptográficas Almacenadas
• Manejo y Registro de Errores
• Protección de Datos
• Comunicaciones
• Configuración de Seguridad HTTP
• Controles Maliciosos
• Lógica Empresarial
• Archivos y Recursos

Cada dominio tiene sus propios controles o requisitos específicos. Por ejemplo, dentro del dominio "Autenticación", puede haber controles relacionados con la complejidad de las contraseñas, mecanismos de bloqueo de cuentas y autenticación multifactor.

Consulte la documentación oficial del Estándar de Verificación de Seguridad de Aplicaciones de OWASP para obtener una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

Las evaluaciones de OWASP ASVS son típicamente una mezcla de revisiones manuales y escaneos automáticos, abarcando la revisión del código fuente, pruebas en tiempo de ejecución y examen de la configuración del entorno.

La frecuencia de las auditorías depende del ciclo de vida del desarrollo, cualquier cambio realizado en la aplicación, o los requisitos comerciales o regulatorios específicos. Normalmente, las evaluaciones de seguridad podrían llevarse a cabo para lanzamientos importantes de aplicaciones o al menos una vez al año.

La duración de la auditoría varía según la complejidad y el tamaño de la aplicación, el nivel específico de verificación buscado (ASVS tiene tres niveles), y la profundidad de las pruebas requeridas.