OWASP Application Security Verification Standard – udostępniono wersję 3.0

11 października 2015, 16:28 | W biegu | 0 komentarzy
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Niedawno pokazała się wersja 3.0 znanego dokumentu: OWASP ASVS.

W skrócie jest to rozbudowana checklista, pokazująca jak w systematyczny sposób zweryfikować bezpieczeństwo aplikacji (webowej) – dodatkowo podzielona na 3 poziomy szczegółowości badania.

Zmiany w stosunku do wersji 2.0 poszły moim zdaniem w bardzo dobrym kierunku. Mamy tu bowiem:

  • Bardziej rozbudowane (czy uporządkowane) same punkty w checklistach – co więcej nowe elementy zostały jasno oznaczone (brawo!):

OWASP ASVS 3.0 – fragment

  • Każda większa sekcja np.: „V2: Authentication Verification Requirements” posiada wstęp (po co w ogóle zajmować się tematem), ale co ważniejsze również przydatne dalsze linki do dokumentacji OWASP-u (tego brakowało!)
  • Pojawiły się również zupełnie nowe sekcje – dotyczące testowania bezpieczeństwa webservices czy elementów konfiguracyjnych infrastruktury (nie samej aplikacji):
    ASVS 3.0 - fragment

    ASVS 3.0 – fragment

  • Na koniec (kwestia bardziej organizacyjna niż rzecz nowa) – instrukcję, który poziom szczegółowości sprawdzania dobrać dla jakiego projektu (w podziale też na charakter systemu: finanse, e-commerce, branża produkcyjna, itp.) – przeniesiono na początek dokumentu, co ułatwia użytkowanie całości dokumentu osobom początkującym.

    –Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz