OWASP Application Security Verification Standard – udostępniono wersję 3.0

Niedawno pokazała się wersja 3.0 znanego dokumentu: OWASP ASVS.

W skrócie jest to rozbudowana checklista, pokazująca jak w systematyczny sposób zweryfikować bezpieczeństwo aplikacji (webowej) – dodatkowo podzielona na 3 poziomy szczegółowości badania.

Zmiany w stosunku do wersji 2.0 poszły moim zdaniem w bardzo dobrym kierunku. Mamy tu bowiem:

• Bardziej rozbudowane (czy uporządkowane) same punkty w checklistach – co więcej nowe elementy zostały jasno oznaczone (brawo!):

OWASP ASVS 3.0 – fragment

• Każda większa sekcja np.: „V2: Authentication Verification Requirements” posiada wstęp (po co w ogóle zajmować się tematem), ale co ważniejsze również przydatne dalsze linki do dokumentacji OWASP-u (tego brakowało!)
• Pojawiły się również zupełnie nowe sekcje – dotyczące testowania bezpieczeństwa webservices czy elementów konfiguracyjnych infrastruktury (nie samej aplikacji):
  

  ASVS 3.0 – fragment

• Na koniec (kwestia bardziej organizacyjna niż rzecz nowa) – instrukcję, który poziom szczegółowości sprawdzania dobrać dla jakiego projektu (w podziale też na charakter systemu: finanse, e-commerce, branża produkcyjna, itp.) – przeniesiono na początek dokumentu, co ułatwia użytkowanie całości dokumentu osobom początkującym.

  –Michał Sajdak