如何将 OWASP Top 10 2021 做为标准使用
OWASP Top 10 最主要是一个提升意识及资安认知形态的文件。但是,从 2003 年开始,这并沒有让任何的企业或组织停止使用它当作预设的应用安全标准。如果你想要用使用 OWASP Top 10 当作程式设计或是验证测试的一个标准,要先知道这只是一个最低限度的指标并且也只是一个开始。
使用 OWASP Top 10 作为标准的困难之一是我们记录了应用安全风险,而不一定是容易测试的问题。例如,A04:2021-Insecure Design 超出了大多数能够被测试及被验证的范围。 另一个例子是要测试有效的就地、被使用中的测试记录和监控机制只能透过面谈和要求抽样有效的资安事件鉴识案例。 一个靜态原始码分析工具可以找出日志记录的缺失,但可能无法确定业务逻辑或存取控制是否在日志记录中记录了有关重要安全漏洞的日志。 滲透测试人员可能只能确定他们在测试环境中测试时有确实的执行了资安事件鉴识,在实际的实体环境中却有可能沒有做到相同的标准。
以下是我们建议在什么时候可以使用 OWASP Top 10:
| 使用案例 | OWASP Top 10 2021 | OWASP 应用安全验证标准 (ASVS) |
|---|---|---|
| 认知性 | 是 | |
| 教育训练 | 基础 | 完整 |
| 设计及架构 | 偶尔 | 可以 |
| 程式标准 | 最低限度 | 可以 |
| 安全程式验证 | 最低限度 | 可以 |
| 同行评审清单 | 最低限度 | 可以 |
| 单元测试 | 偶而可以 | 可以 |
| 整合测试 | 偶而可以 | 可以 |
| 滲透测试 | 最低限度 | 可以 |
| 支援工具 | 最低限度 | 可以 |
| 安全供应链 | 偶而可以 | 可以 |
我们鼓励任何希望能套用应用安全标准的人可以利用 OWASP 应用安全验证标准(ASVS),因为它本身的设计就是可被测试及验证的,并可以在安全软体开发生命周期的所有阶段都可被运用。
ASVS 也是唯一工具提供者能被接受的选择。测试工具沒办法全面的侦测,测试,或保护 OWASP Top 10 当中的一些項目。是因为 OWASP Top 10 的风险类別的区分有一部分也是跟 A04:2021-不安全的设计有所相关。OWASP 強烈不建议用 OWASP Top 10 去涵盖所有的安全规范及需求,因为这本身就不是真的。