読者です 読者をやめる 読者になる 読者になる

OWASP Application Security Verification Standard

OWASPからASVS(Application Security Verification Standard)と呼ばれる文書がでていたのを知ったのでメモしておきます。
OWASP ASVSは検査と報告の要件を設定し、4階層にレベル分けしています。ASVSでは以下の項目に対する検査に関する詳細要件を定義しています。

V1. セキュリティ設計 Security Architecture
V2. 認証 Authentication
V3. セッション管理 Session Management
V4. アクセス制御 Access Control
V5. 入力のバリデーション Input Validation
V6. 出力のエンコーディング/エスケープ Output Encoding/Escaping
V7. 暗号化 Cryptography
V8. エラー処理及びログ記録 Error Handling and Logging
V9. データ保護 Data Protection
V10. 通信のセキュリティ Communication Security
V11. HTTPのセキュリティ HTTP Security
V12. セキュリティ関連の設定 Security Configuration
V13. 悪意のあるコードの検出 Malicious Code Search
V14. 内部のセキュリティ Internal Security

各レベルの検査要件は以下の通り。

Level 1: 自動検査
  Level 1A - 動的スキャン (部分的な自動化検査)
  Level 1B - ソースコードスキャン (部分的な自動検査)

Level 2: 手動検査
  Level 2A - セキュリティテスト (部分的な手動検査)
  Level 2B - コードレビュー (部分的な手動検査)

Level 3: 企画設計の検査

Level 4: 内部の検査

例を挙げると「V5. 入力のバリデーションの検査要件」は次のようになっています。