URN_NBN_SI_DOC-RKSH48DC

Kako lahko OWASP pomaga revizorjem? 9 preverjanju, ali je razvoj aplikacij potekal z dobrimi praksami. Seveda je težko slediti vsem projektom, ki jih OWASP vzdržuje in gradi, zato bomo v nadaljevanju predstavili samo nekatere, ki lahko takoj koristijo revizorjem. 6. OWASP Application Security Verification Standard (ASVS) Ta standard omogoča dobro osnovo za testiranje aplikativnih tehnično-varnostnih kontrol ter tudi drugih tehničnih kontrol v samem okolju aplikacij. Je dejansko ogrodje za podporo zagotavljanja varnostnih zahtev in kontrol, ki se osredotočajo na funkcijske in druge kontrole, ki ga lahko uporabljamo pri snovanju, razvoju in testiranju sodobnih spletnih aplikacij ter storitev. Standard upošteva tudi priporočila drugih standardov, kot na primer NIS T 3 800-63 Digital Identity Guidelines. Navezuje pa se tudi na druge projekte znotraj OWASP-a, kot na primer na OWASP Top 10 [7]. Ta standard opredeljuje tri verifikacijske nivoje, kjer vsak višji nivo dobi večjo globino in ima večje zahteve za varnost podatkov: • ASVS Level 1 – za vso programsko opremo in minimalno za aplikacije, • ASVS Level 2 – za aplikacije, ki obdelujejo občutljive podatke in zahtevajo dodatno zaščito, • ASVS Level 3 – za kritične aplikacije, • ki procesirajo transakcije z visokimi vrednostmi, • ki obdelujejo medicinske podatke, • in druge vrste aplikacij, ki obdelujejo kritične podatke. Slika 2: Prikaz uporabe nivojev za funkcionalnost Vir : https://github.com/OWASP/ASVS#latest -released-version, 2019, str. 25. 3 National Institute of Standards and Technology ( https://www.nist.gov/) .