Skip to content

Como usar o OWASP Top 10 como padrão

O OWASP Top 10 é principalmente um documento de conscientização. No entanto, isso não impediu as organizações de usá-lo de fato como um padrão AppSec na indústria desde seu início em 2003. Se você deseja usar o OWASP Top 10 como um padrão de codificação ou teste, saiba que é apenas o mínimo e um ponto de partida.

Uma das dificuldades de usar o OWASP Top 10 como padrão é que documentamos os riscos do appsec, e não necessariamente problemas testáveis com facilidade. Por exemplo, A04:2021-Insecure Design está além do escopo da maioria das formas de teste. Outro exemplo são os testes no local, em uso, e o registro e monitoramento eficazes só podem ser feitos com entrevistas e requisições de uma amostra de respostas eficazes de incidentes. Uma ferramenta de análise estática de código pode procurar a ausência de registro, mas pode ser impossível determinar se a lógica de negócios ou o controle de acesso está registrando violações de segurança críticas. Os testadores de penetração podem apenas determinar se eles chamaram a resposta a incidentes em um ambiente de teste, que raramente é monitorado da mesma maneira que a produção.

Aqui estão nossas recomendações para quando é apropriado usar o OWASP Top 10:

Caso de Uso OWASP Top 10 2021 OWASP Padrão de verificação de segurança de aplicações
Conscientização Sim
Treinamento Nível de entrada Compreensivo
Design e arquitetura Ocasionalmente Sim
Padrão de codificação Mínimo Sim
Revisão de Código Seguro Mínimo Sim
Lista de verificação de revisão por pares Mínimo Sim
Teste de unidade Ocasionalmente Sim
Teste de integração Ocasionalmente Sim
Teste de penetração Mínimo Sim
Suporte de ferramenta Mínimo Sim
Cadeia de abastecimento segura Ocasionalmente Sim

Nós encorajamos qualquer pessoa que queira adotar uma segurança de aplicação padrão para usar o OWASP Application Security Verification Standard (ASVS), pois é projetado para ser verificável e testado, e pode ser usado em todas as partes de um ciclo de vida de desenvolvimento seguro.

O ASVS é a única escolha aceitável para fornecedores de ferramentas. Ferramentas não podem detectar, testar ou proteger de forma abrangente contra o OWASP Top 10 devido a a natureza de vários dos 10 principais riscos OWASP, com referência a A04: 2021-Design inseguro. OWASP desencoraja qualquer reivindicações de cobertura total do OWASP Top 10 porque simplesmente não é verdadeiro.