Как стать автором
Обновить
36.57
OWASP
Open Web Application Security Project

Перевод стандарта OWASP ASVS 4.0. Часть 2

Уровень сложностиСредний
Время на прочтение2 мин
Количество просмотров4.6K
Автор оригинала: OWASP

Говорят, обещанного три года ждут, но не прошло и двух с появления первой части, как я решил не ждать продолжения, а перевести OWASP Application Security Verification Standard самостоятельно. В первой части помимо раздела об архитектуре было подробное введение, дающее представление о стандарте и его назначении. Всем, кто его читал, и тем, кто знаком с ASVS в оригинале, сразу даю ссылку на итоговый pdf и другие форматы, — возможно, вы откроете для себя что-то новое. Всем остальным предлагаю несколько слайдов в качестве быстрого погружения.

Не Top 10 единым...
Не Top 10 единым...
Область действия стандарта
Область действия стандарта

Предварительная версия стандарта по верификации требований безопасности к IoT приведена в Приложении C ASVS v.4.0 (в дальнейшем он станет отдельным стандартом), MASVS уже отделился и даже переведён.

Уровни соответствия стандарту
Уровни соответствия стандарту
Варианты применения стандарта
Варианты применения стандарта

Самым интересным для меня было научиться работать с требованиями таким образом, чтобы выжать из них максимум. Разработчики стандарта уже заложили в него перекрёстные связи с упреждающими мерами из Proactive Top 10, распространёнными недостатками в ПО из Common Weakness Enumeration, и требованиями по цифровой идентификации из NIST SP 800-63b. Но это ещё не всё. Соответствие с требованиями ASVS приведено на странице с памятками и рекомендациями OWASP (Cheat Sheet Series). Энтузиасты сопоставили с требованиями ASVS тесты из руководства WSTG, разрабатывают сценарии DAST-тестирования в ZAP (в ближайших планах у Burp). Кроме того, в материалах конференции Global AppSec DC 2019 можно найти тесты почти по всем требованиям, а также соответствие ASVS требованиям PCI DSS 6.5 и мерам из NIST RMF. На примере разбора одного (из почти трёхсот) требований ASVS, ниже показываю, что из этого можно получить.

Взаимосвязи ASVS с другими стандартами и методиками
Взаимосвязи ASVS с другими стандартами и методиками

Завершая, хочу обратить внимание на связанную с предыдущим слайдом проблему — устаревающие со временем перекрёстные ссылки между требованиями стандартов, рекомендациями по устранению, мерами защиты и т.п. Для её решения разрабатываются интеграционные стандарты с навигатором проектов OWASP Application Security WayFinder для SDLC и поисковая система Common Requirement Enumeration с постоянными перекрёстными ссылками.

Навигатор проектов OWASP в SDLC
Навигатор проектов OWASP в SDLC

Теги:
Хабы:
Всего голосов 3: ↑3 и ↓0+3
Комментарии0

Публикации

Информация

Сайт
owasp.org
Дата регистрации
Дата основания
Численность
1 001–5 000 человек
Местоположение
Россия
Представитель
Лука Сафонов

Истории