پروژه OWASP ASVS چتری بر سر پورتال های سازمانی
هدف اصلی OWASP ASVS Project استاندارد سازی و معرفی معیار و سطوح سخت گیری در ارزیابی میزان امنیت پورتال های سازمانی در قالب استانداردی باز و قابل اجرا در محیط تجاری می باشد.
این استاندارد، زیرساخت ها و پایه هایی برای تست کنترل امنیتی پورتال های سازمانی فراهم می کند. همچنین تست کنترلهای امنیتی ویژه که جهت محافظت در مقابل آسیب پذیری های خاص همانند Cross-Site Scripting (XSS) و یا SQL injection پیش بینی شده اند را در بر می گیرد. این استاندارد می تواند به عنوان ایجاد یک سطح اعتماد مورد وثوق در مورد میزان امنیت یک پورتال نیز بکار رود. در این استاندارد الزامات براساس اهداف ذیل توسعه داده شده است:
استفاده به عنوان معیار: فراهم نمودن معیار و درجه اعتماد به میزان امنیت نرم افزار تحت وب برای توسعه دهندگان و صاحبان نرم افزارهای تحت وب.
استفاده به عنوان راهنما: ارائه راهنمایی لازم برای توسعه دهندگان کنترل های امنیتی نرم افزارها؛ که چگونه نرم افزاری توسعه دهند که الزامات امنیتی مورد نیاز در کاربردهای وب را برآورده سازد.
استفاده در زمان تهیه نرم افزار: فراهم نمودن پایه هایی برای تعریف و مشخص کردن الزامات تایید امنیت نرم افزار در قراردادهای تهیه نرم افزار.
اگر به صورت کلی بخواهیم بخشهای این استاندارد را بررسی نماییم، دارای سه بخش مجزای معرفی “سطوح ارزیابی”، معرفی “جزئیات نیازمندی های ارزیابی” و بخش معرفی “نیازمندیهای گزارش دهی ارزیابی ها” می باشد. سطوح ارزیابی در این استاندارد نیز چهار سطح است که سطوح یک و دو خودشان دو سطح داخلی نیز دارند.
ارزیابی سطح یک – ارزیابی خودکار/ مکانیزه
ارزیابی سطح 1A – اسکن دینامیک
ارزیابی سطح 1B – اسکن کد منبع نرم افزار با ابزار
ارزیابی سطح دو – ارزیابی دستی/ خصوصی سازی شده
ارزیابی سطح 2A – اسکن دستی و خصوصی سازی شده نرم افزار
ارزیابی سطح 2B – اسکن دستی و خصوصی سازی شده کد منبع نرم افزار
ارزیابی سطح سه- ارزیابی طراحی
ارزیابی سطح چهار- ارزیابی داخلی
هرکدام از سطوح دارای نیازمندی ها و الزامات متعددی است که خلاصه نیازمندی ها و الزامات در سطوح مختلف این استاندارد در جدول ذیل به صورت سرجمع آورده شده است:
نوشته شده در طراحی سایت
دیدگاه خود را بنویسید