Говорят, обещанного три года ждут, но не прошло и двух, с тех пор как здесь появилась первая часть перевода OWASP Application Security Verification Standard 4.0, как я решил доделать начатое. В первой части помимо раздела об архитектуре было подробное введение, дающее представление о стандарте и его назначении. Всем кто его прочитал, и тем, кто знаком с ASVS в оригинале, сразу даю ссылку на итоговый pdf и другие форматы, — возможно, вы откроете для себя что-то новое. Всем остальным предлагаю посмотреть «великолепные цветные диапозитивы» в качестве быстрого погружения.
Предварительная версия стандарта по верификации требований безопасности к IoT приведена в Приложении C ASVS v.4.0 (в дальнейшем он станет отдельным стандартом), MASVS уже отделился и даже переведён.
Самым интересным для меня было научиться работать с требованиями таким образом, чтобы выжать из них максимальную пользу. Разработчики стандарта уже заложили в него перекрёстные связи с упреждающими мерами из Proactive Top 10, распространёнными недостатками в ПО из Common Weakness Enumeration и требованиями по цифровой идентификации из NIST SP 800-63b. Но это ещё не всё. Соответствие с требованиями ASVS приведено на странице с памятками OWASP (Cheat Sheet Series). Энтузиасты сопоставили с требованиями ASVS тесты из методики WSTG, разрабатывают сценарии DAST-тестирования в ZAP, они же в ближайших планах Burp Suite. В материалах конференции Global AppSec DC 2019 описаны модульные и интеграционные тесты, а также соответствие ASVS требованиям PCI DSS и NIST RMF. На примере одного из требований ASVS, ниже показано, что из всего этого можно получить.
Завершая обзор, хочу обратить внимание на связанную с предыдущим слайдом проблему — устаревающие со временем перекрёстные ссылки между требованиями стандартов, рекомендациями по устранению, мерами защиты и т.п. Для её решения разрабатываются интеграционные стандарты с навигатором проектов OWASP для SDLC и поисковик Common Requirement Enumeration с постоянными перекрёстными ссылками.
ссылка на оригинал статьи https://habr.com/ru/company/owasp/blog/679654/
Добавить комментарий