Говорят, обещанного три года ждут, но не прошло и двух с появления первой части, как я решил не ждать продолжения, а перевести OWASP Application Security Verification Standard самостоятельно. В первой части помимо раздела об архитектуре было подробное введение, дающее представление о стандарте и его назначении. Всем, кто его читал, и тем, кто знаком с ASVS в оригинале, сразу даю ссылку на итоговый pdf и другие форматы, — возможно, вы откроете для себя что-то новое. Всем остальным предлагаю несколько слайдов в качестве быстрого погружения.
![Не Top 10 единым... Не Top 10 единым...](https://habrastorage.org/getpro/habr/upload_files/c10/a79/09b/c10a7909b1ff866c4c653044f4fd29d5.png)
![Область действия стандарта Область действия стандарта](https://habrastorage.org/getpro/habr/upload_files/b57/ca7/c3f/b57ca7c3fea1800189c90eb2f29acb1a.png)
Предварительная версия стандарта по верификации требований безопасности к IoT приведена в Приложении C ASVS v.4.0 (в дальнейшем он станет отдельным стандартом), MASVS уже отделился и даже переведён.
![Уровни соответствия стандарту Уровни соответствия стандарту](https://habrastorage.org/getpro/habr/upload_files/5f5/3b4/1f1/5f53b41f1b9d482bf652d2e24cbaf23a.png)
![Варианты применения стандарта Варианты применения стандарта](https://habrastorage.org/getpro/habr/upload_files/ad7/527/a37/ad7527a377c469d5fecacf1099d869c1.png)
Самым интересным для меня было научиться работать с требованиями таким образом, чтобы выжать из них максимум. Разработчики стандарта уже заложили в него перекрёстные связи с упреждающими мерами из Proactive Top 10, распространёнными недостатками в ПО из Common Weakness Enumeration, и требованиями по цифровой идентификации из NIST SP 800-63b. Но это ещё не всё. Соответствие с требованиями ASVS приведено на странице с памятками и рекомендациями OWASP (Cheat Sheet Series). Энтузиасты сопоставили с требованиями ASVS тесты из руководства WSTG, разрабатывают сценарии DAST-тестирования в ZAP (в ближайших планах у Burp). Кроме того, в материалах конференции Global AppSec DC 2019 можно найти тесты почти по всем требованиям, а также соответствие ASVS требованиям PCI DSS 6.5 и мерам из NIST RMF. На примере разбора одного (из почти трёхсот) требований ASVS, ниже показываю, что из этого можно получить.
![Взаимосвязи ASVS с другими стандартами и методиками Взаимосвязи ASVS с другими стандартами и методиками](https://habrastorage.org/getpro/habr/upload_files/8ed/275/4a8/8ed2754a8603bc71f12eb189993d3505.png)
Завершая, хочу обратить внимание на связанную с предыдущим слайдом проблему — устаревающие со временем перекрёстные ссылки между требованиями стандартов, рекомендациями по устранению, мерами защиты и т.п. Для её решения разрабатываются интеграционные стандарты с навигатором проектов OWASP Application Security WayFinder для SDLC и поисковая система Common Requirement Enumeration с постоянными перекрёстными ссылками.
![Навигатор проектов OWASP в SDLC Навигатор проектов OWASP в SDLC](https://habrastorage.org/getpro/habr/upload_files/7e2/ea4/da8/7e2ea4da866bb80f66b759e025089779.png)