Définition et objectif

L'objectif principal de l'OWASP ASVS est de normaliser la gamme de contrôles de sécurité requis lors de la conception, du développement et des tests des applications web modernes et des services web. Il offre une base pour tester les contrôles de sécurité technique des applications web, ainsi que tout contrôle de sécurité technique dans l'environnement, qui sont utilisés pour protéger, authentifier et vérifier l'accès des utilisateurs aux applications web.

Organisme de réglementation

Le Projet de sécurité des applications web ouvertes (OWASP) est l'organisme de réglementation de l'ASVS. OWASP est une communauté ouverte dédiée à permettre aux organisations de concevoir, développer, acquérir, exploiter et maintenir des applications de confiance.

Dernière mise à jour

La mise à jour la plus récente a été la version 4.03 publiée en 2019. La version 5.0 a été annoncée et est actuellement en cours de développement.

S'applique à

L'OWASP ASVS s'applique largement aux applications web et aux services web, indépendamment de l'industrie. Cela inclut les organisations des secteurs de la finance, de la santé, du commerce électronique, des technologies de l'information, du secteur public, et pratiquement de toute autre industrie qui conçoit, développe ou maintient des applications web.

Contrôles et exigences

L'ASVS définit une série d'exigences de sécurité regroupées en domaines :

• Architecture, Conception et Modélisation des Menaces
• Authentification
• Gestion des sessions
• Contrôle d'accès
• Validation, assainissement et encodage
• Protections cryptographiques stockées
• Gestion des erreurs et journalisation
• Protection des données
• Communications
• Configuration de la sécurité HTTP
• Contrôles malveillants
• Logique commerciale
• Fichiers et Ressources

Chaque domaine a ses propres contrôles ou exigences spécifiques. Par exemple, dans le domaine "Authentification", il peut y avoir des contrôles liés à la complexité des mots de passe, aux mécanismes de verrouillage de compte, et à l'authentification multi-facteurs.

Veuillez vous référer à la documentation officielle de l'OWASP Application Security Verification Standard pour une liste détaillée des contrôles et des exigences.

Type, fréquence et durée de l'audit

Les évaluations ASVS OWASP sont généralement un mélange de revues manuelles et de scans automatisés, comprenant la revue du code source, les tests en temps réel et l'examen de la configuration de l'environnement.

La fréquence des audits dépend du cycle de développement, des modifications apportées à l'application ou des exigences commerciales ou réglementaires spécifiques. En général, les évaluations de sécurité peuvent être effectuées pour les principales versions de l'application ou au moins une fois par an.

La durée de l'audit varie en fonction de la complexité et de la taille de l'application, du niveau de vérification spécifique recherché (ASVS a trois niveaux) et de la profondeur des tests requis.