ASVS
6.1.3 ASVS
El Estándar de Verificación de Seguridad de Aplicaciones (ASVS) es un proyecto insignia de OWASP establecido desde hace tiempo, y es ampliamente utilizado como guía durante la verificación de aplicaciones web.
Se puede descargar desde la página del proyecto OWASP en varios idiomas y formatos: PDF, Word, CSV, XML y JSON. Dicho esto, la forma recomendada de consumir el ASVS es acceder directamente a las páginas markdown en GitHub - esto asegurará que se use la versión más reciente.
¿Qué es ASVS?
El ASVS es un estándar abierto que establece la cobertura y el “nivel de rigor” esperado cuando se trata de realizar la verificación de seguridad de aplicaciones web. El estándar también proporciona una base para el testeo de cualquier control técnico de seguridad que se utilice para proteger contra vulnerabilidades en la aplicación.
El ASVS se divide en varias secciones:
- V1 Arquitectura, Diseño y Modelado de Amenazas
- V2 Autenticación
- V3 Gestión de Sesiones
- V4 Control de Acceso
- V5 Validación, Sanitización y Codificación
- V6 Criptografía Almacenada
- V7 Manejo de Errores y Registro de actividad
- V8 Protección de Datos
- V9 Comunicación
- V10 Código Malicioso
- V11 Lógica de Negocio
- V12 Archivos y Recursos
- V13 API y Servicios Web
- V14 Configuración
El ASVS define tres niveles de verificación de seguridad:
- aplicaciones que solo necesitan niveles bajos de garantía; estas aplicaciones son completamente comprobables mediante pruebas de penetración
- aplicaciones que contienen datos sensibles que requieren protección; el nivel recomendado para la mayoría de las aplicaciones
- las aplicaciones más críticas que requieren el más alto nivel de confianza
La mayoría de las aplicaciones apuntarán al Nivel 2, con solo aquellas aplicaciones que realizan transacciones de alto valor, o contienen datos médicos sensibles, aspirando al más alto nivel de confianza de nivel 3.
¿Por qué usarlo?
El ASVS es utilizado por muchas organizaciones como base para la verificación de sus aplicaciones web. Está bien establecido, las primeras versiones fueron escritas en 2008, y ha tenido continuo mantenimiento desde entonces.
El ASVS es exhaustivo, por ejemplo, la versión 4.0.3 tiene una lista de 286 requisitos de verificación, y estos requisitos de verificación han sido creados y acordados por una amplia comunidad de seguridad. Usar el ASVS como guía proporciona una base sólida para el proceso de verificación.
Cómo utilizarlo
La serie OWASP Spotlight proporciona una descripción general del ASVS y sus usos: ‘Proyecto 19 - Estándar OWASP de Verificación de Seguridad de Aplicaciones (ASVS)’.
El ASVS debe usarse como guía para el proceso de verificación, eligiendo el nivel apropiado de verificación entre:
- Nivel 1: Primeros pasos, automatizado, o vista de todo el portafolio
- Nivel 2: La mayoría de las aplicaciones
- Nivel 3: Alto valor, alta garantía o alta seguridad
Use el ASVS como orientación en lugar de intentar implementar todos los controles posibles. Herramientas como SecurityRAT pueden ayudar a crear un subconjunto más manejable de los requisitos del ASVS.
La guía ASVS ayudará a los desarrolladores a construir controles de seguridad que satisfarán los requisitos de seguridad de la aplicación.
Las Hojas de Referencia de OWASP han sido indexadas específicamente para cada sección del ASVS, que pueden usarse como documentación para ayudar a decidir si una categoría de requisitos debe incluirse en la verificación.
Referencias
- Estándar OWASP de Verificación de Seguridad de Aplicaciones (ASVS)
- Índice ASVS de OWASP
- Proyecto SecurityRAT de OWASP
Traducción de versión original en inglés.
La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse entonces cree un issue o edítelo en GitHub.
\newpage