O principal objetivo do projeto OWASP Application Security Verification Standard (ASVS) é fornecer um padrão de segurança de aplicativo aberto para aplicativos da web e serviços da web de todos os tipos.
O padrão fornece uma base para projetar, construir e testar controles de segurança de aplicativos técnicos, incluindo questões arquitetônicas, ciclo de vida de desenvolvimento seguro, modelagem de ameaças, segurança ágil incluindo integração / implantação contínua, sem servidor e problemas de configuração.
Os requisitos foram desenvolvidos com os seguintes objetivos em mente:
Ajude as organizações a adotar ou adaptar um padrão de codificação seguro de alta qualidade Ajude arquitetos e desenvolvedores a construir software seguro, projetando e construindo segurança e verificando se eles estão em vigor e eficazes pelo uso de testes de unidade e integração que implementam testes ASVS Ajude a implantar software seguro por meio do uso de compilações seguras e repetíveis Ajude os revisores de segurança a usar um padrão abrangente, consistente e de alta qualidade para revisões de código híbrido, revisões de código seguras, revisões de código de pares, retrospectivas e trabalhar com desenvolvedores para construir unidades de segurança e testes de integração. É ainda possível usar este padrão para testes de penetração no Nível 1 Auxiliar os fornecedores de ferramentas, garantindo que haja uma versão legível por máquina facilmente gerável, com mapeamentos CWE Auxiliar as organizações a comparar ferramentas de segurança de aplicativos pela porcentagem de cobertura do ASVS para ferramentas de análise dinâmica, interativa e estática Minimize a sobreposição e concorrência de requisitos de outros padrões, alinhando-se fortemente com eles (NIST 800-63) ou sendo superconjuntos estritos (OWASP Top 10 2017, PCI DSS 3.2.1), o que ajudará a reduzir os custos, esforço e tempo de conformidade desperdiçado em aceitar diferenças desnecessárias como riscos. As listas de requisitos ASVS são disponibilizadas em CSV, JSON e outros formatos que podem ser úteis para referência ou uso programático.
https://github.com/OWASP/ASVS/
https://owasp.org/www-project-application-security-verification-standard/