Requisitos ASVS
3.5 Requisitos ASVS
El Estándar de Verificación de Seguridad de Aplicaciones (ASVS) es un proyecto insignia de OWASP establecido desde hace tiempo, y es ampliamente utilizado para sugerir requisitos de seguridad, así como para la verificación central de aplicaciones web.
Se puede descargar desde la página del proyecto OWASP en varios idiomas y formatos: PDF, Word, CSV, XML y JSON. Dicho esto, la forma recomendada de consumir el ASVS es acceder directamente a las páginas markdown de github - esto asegurará que se utilice la versión más reciente.
¿Qué es ASVS?
El ASVS es un estándar abierto que establece la cobertura y el nivel de rigor esperados cuando se trata de realizar la verificación de seguridad de aplicaciones web. El estándar también proporciona una base para probar cualquier control técnico de seguridad en el que se confía para proteger contra vulnerabilidades en la aplicación.
El ASVS se divide en varias secciones:
- V1 Arquitectura, Diseño y Modelado de Amenazas
- V2 Autenticación
- V3 Gestión de Sesiones
- V4 Control de Acceso
- V5 Validación, Sanitización y Codificación
- V6 Criptografía Almacenada
- V7 Manejo de Errores y Registro
- V8 Protección de Datos
- V9 Comunicación
- V10 Código Malicioso
- V11 Lógica de Negocio
- V12 Archivos y Recursos
- V13 API y Servicios Web
- V14 Configuración
El ASVS define tres niveles de verificación de seguridad:
- aplicaciones que solo necesitan niveles bajos de garantía; estas aplicaciones son completamente comprobables mediante pruebas de penetración
- aplicaciones que contienen datos sensibles que requieren protección; el nivel recomendado para la mayoría de las aplicaciones
- las aplicaciones más críticas que requieren el más alto nivel de confianza
La mayoría de las aplicaciones apuntarán al Nivel 2, y solo aquellas aplicaciones que realizan transacciones de alto valor, o contienen datos médicos sensibles, aspirarán al más alto nivel de confianza en el nivel 3.
¿Por qué usarlo?
El ASVS es utilizado por muchas organizaciones como base para la verificación de sus aplicaciones web. Está bien establecido, las versiones anteriores fueron escritas en 2008, y ha sido continuamente respaldado desde entonces. El ASVS es exhaustivo, por ejemplo, la versión 4.0.3 tiene una lista de 286 requisitos de verificación, y estos requisitos de verificación han sido creados y acordados por una amplia comunidad de seguridad.
Por estas razones, el ASVS es un buen punto de partida para crear y actualizar requisitos de seguridad para aplicaciones web. El uso generalizado de este estándar abierto significa que los equipos de desarrollo y proveedores pueden ya estar familiarizados con los requisitos, lo que facilita la adopción de los requisitos de seguridad.
Cómo usarlo
La serie OWASP Spotlight proporciona una visión general del ASVS y sus usos: ‘Proyecto 19 - Estándar de Verificación de Seguridad de Aplicaciones (ASVS) de OWASP’.
Se debe elegir el nivel apropiado de verificación de los niveles ASVS:
- Nivel 1: Primeros pasos, automatizado, o vista de toda la cartera
- Nivel 2: La mayoría de las aplicaciones
- Nivel 3: Alto valor, alta garantía o alta seguridad
Herramientas como SecurityRAT pueden ayudar a crear un subconjunto más manejable de los requisitos de seguridad ASVS, permitiendo el enfoque y las decisiones sobre si cada uno es aplicable a la aplicación web o no.
Las Hojas de Referencia (Cheat Sheets) de OWASP han sido indexadas específicamente para cada sección del ASVS, que pueden usarse como documentación para ayudar a decidir si una categoría de requisitos debe incluirse en el esquema de pruebas.
Referencias
- Estándar de Verificación de Seguridad de Aplicaciones (ASVS) de OWASP
- Hojas de Referencias para ASVS de OWASP
- SecurityRAT de OWASP
Traducción de versión original en inglés.
La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiar entonces cree un issue o edítelo en GitHub.