Bagaimana cara menggunakan OWASP Top 10 sebagai sebuah standarisasi
OWASP Top 10 terutama merupakan dokumen kesadaran. Bagaimanapun, hal ini tidak menutup organisasi untuk menggunakannya sebagai sebuah standar de facto pada industri keamanan aplikasi sejak kelahirannya pada tahun 2003. Apabila anda ingin menggunakan OWASP Top 10 sebagai standar dalam coding atau pengujian, ketahuilah bahwa ini adalah batas minimal dan hanya sebuah tahap awal.
Salah satu kesulitan dalam menggunakan OWASP Top 10 sebagai sebuah standar adalah kita mendokumentasikan resiko keamanan aplikasi, dan belum tentu sebuah masalah yang mudah diuji. Sebagai contohnya, A04:2021-Insecure Design yang mana berada di luar cakupan sebagian besar bentuk dari pengujian. Contoh lainnya adalah pengujian di tempat, digunakan, dan pencatatan dan pemantauan yang efektif hanya dapat dilakukan dengan wawancara dan meminta sebuah sampel dari respon tanggapan insiden yang efektif. Sebuah alat analisa kode statis dapat melihat mengenai ketidakhadiran pada pencatatan, namun hal ini mungkin mustahil untuk ditentukan apabila business logic atau kontrol akses mencatat penjebolan keamanan yang kritis. penguji penetrasi hanya dapat menentukan bahwa mereka telah memanggil respons insiden di lingkungan pengujian, yang jarang dipantau dengan cara yang sama seperti pada produksi.
Berikut adalah rekomendasi kami mengenai kapan waktu yang tepat untuk menggunakan OWASP Top 10:
| Use Case | OWASP Top 10 2021 | OWASP Application Security Verification Standard |
|---|---|---|
| Awareness | Yes | |
| Training | Entry level | Comprehensive |
| Design and architecture | Occasionally | Yes |
| Coding standard | Bare minimum | Yes |
| Secure Code review | Bare minimum | Yes |
| Peer review checklist | Bare minimum | Yes |
| Unit testing | Occasionally | Yes |
| Integration testing | Occasionally | Yes |
| Penetration testing | Bare minimum | Yes |
| Tool support | Bare minimum | Yes |
| Secure Supply Chain | Occasionally | Yes |
Kami akan mendorong siapa pun yang ingin mengadopsi standar keamanan aplikasi untuk menggunakan OWASP Application Security Verification Standar (ASVS), yang mana ini dirancang agar dapat diverifikasi dan diuji, dan dapat digunakan di berbagai bagian dari siklus hidup pengembangan yang aman.
ASVS hanyalah sebuah pilihan yang dapat diterima untuk vendor alat. Alat tidak bisa secara menyeluruh mendeteksi, menguji, ataupun melindungi dari OWASP Top 10 dikarenakan sifat dari beberapa resiko OWASP Top 10, dengan mengacu kepada A04:2021-Insecure Design. OWASP tidak menyarankan penangguhan penuh dari OWASP Top 10, dikarenakan hal itu tidak benar.