はじめに
本著作物は Creative Commons Attribution-ShareAlike 4.0 International License に基づいてライセンスされています。
はじめに
OWASP Application Security Verification Standard (ASVS) プロジェクトの主な目的はあらゆる種類のウェブアプリとウェブサービスにオープンなアプリケーションセキュリティ標準を提供することです。
本標準は技術的なアプリケーションセキュリティコントロールを設計、構築、テストのための基礎を提供するものであり、アーキテクチャ上の懸念、セキュア開発ライフサイクル、脅威モデリング、継続的インテグレーション/デプロイメントを含むアジャイルセキュリティ、サーバーレス、構成上の懸念を含みます。
このプロジェクトはウェブ ASVS とモバイル ASVS (MASVS) の間のギャップを埋めることを目的としています。MASVS はシッククライアントテストに使用できますが、完全にフィットするものではないため、より適切なものを作成したいと考えています。
TASVS 1.0 へのロードマップ
一般的なアイデアは、既存の標準から最も優れていて適用可能な部分を取り出し、それをシックのテストに関連する特定の項目で強化することです。私はこれをバージョン 0.1 と呼び、(私の考えでは) チェックリストのアプローチを実際のテストに関連付けることが簡単であるため、最初はスプレッドシート形式で作成します。私のチームはこれを使用して、実際の AppSec の取り組み (やるべきことはたくさんあります) において自社の既存製品をレビューし、バージョン 1.0 の作成を目指して時間をかけて改良してきます。この時点で正式な PDF ドキュメントが作成され、うまくいけば新しい標準が作成されることになります。
v0.1 のタイムラインはおそらく 6-12 か月の範囲 (2024年末) であり、v1.0 プロダクションの長期にわたる改良のタイムスケールは、v0.1 が最初にどの程度うまくできているかによりますが、6-24 か月の範囲 (2025年末) になるでしょう。
標準の目的
要件は以下の目的を念頭に置いて作成されています。これらはウェブ ASVS プロジェクト https://github.com/OWASP/ASVS/blob/master/README.md#standard-objectives から引用されています。
組織が高品質のセキュアコーディング標準を採用または適応することを支援します。
アーキテクトと開発者がセキュリティを設計および構築し、ASVS テストを実装する単体テストと統合テストを使用してセキュリティが適切で効果的であることを検証することで、安全なソフトウェアを構築することを支援します。
反復可能で安全なビルドを使用して、安全なソフトウェアのデプロイを支援します。
セキュリティレビュー担当者がハイブリッドコードレビュー、セキュアコードレビュー、ピアコードレビュー、レトロスペクティブに包括的で一貫性のある高品質の標準を使用し、開発者と協力してセキュリティ単体テストと統合テストを構築することを支援します。この標準をレベル 1 のペネトレーションテストに使用することも可能です。
CWE マッピングで機械読み取り可能なバージョンを簡単に生成できるようにすることで、ツールベンダーを支援します。
動的、対話型、静的解析ツールの ASVS のカバレッジの割合によって、組織がアプリケーションセキュリティツールのベンチマークを実施することを支援します。
他の標準 (NIST 800-63) と強く整合するか、厳密なスーパーセット (OWASP Top 10 2017, PCI DSS 3.2.1) にすることで、他の標準との重複および競合を最小限に抑え、不必要な差異をリスクとして受け入れるために浪費されるコンプライアンスコスト、労力、時間の削減に役立ちます。
ライセンス
プロジェクトコンテンツ全体は Creative Commons Attribution-ShareAlike 4.0 International License の下にあります。
Last updated
