iT邦幫忙

2022 iThome 鐵人賽

DAY 8
0
Security

建構安全軟體開發系列 第 8

建構安全軟體開發 EP 08

  • 分享至 

  • xImage
  •  

Hello, 各位 iT 邦幫忙 的粉絲們大家好~~~

本篇是 建構安全軟體開發 系列文的 EP08。


安全開發的重要參考規範 Part2

建議指引 - I

OWASP® Foundation

應該在資訊領域的從業人員都有聽說過 "OWASP (Open Web Application Security Project) Foundation" ,這個致力於資訊應用安全議題的基金會。

OWASP Top 10

由於這個基金會在每幾年就會列出 Web 應用資安風險類別的前 10 名的並進行公告,通稱 "OWASP Top 10" ,來作為一個提升意識及資安認知形態 "基本" 認知的文件。

在最近一期的公告則為 2021 年,則稱為 OWASP Top 10 : 2021:
OWASP-Top10-2021

而如果想知道 OWASP Top 10 是如何完成遴選的可以參考下面連結:

The Making of th OWASP Top Ten:
https://www.owasptopten.org/themakingoftheowasptopten

但這邊要知道的是,雖然 "OWASP Top 10" 是最為知名的一份文件,但並不適合當作真實開發程式或驗證安全的測試標準,只能說是作為安全開發的最低限度的規範認知。

所以如果真要使用,應該透過 OWASP 的應用安全驗證標準 (ASVS) 來套用到安全軟體開發生命週期的所有階段當中。

OWASP ASVS

目前 OWASP ASVS (Application Security Verification Standard) Prpject 發展到 4.0.3 的版本,按照其 Roadmap 的規劃所提到的 ASVS 5.0 應該會在今年(2022)底年發佈。

其相關的內容也可以在 GitHub 的 OWASP/ASVS 取得。

由於 ASVS 在 4.0.1 發佈時(2019/5/3) 已經開始有 DevOps 觀念,所以在 DevOps 當中透過採用 ASVS 4.0.3 的各種 Practices 進行來形成 DevSecOps。

目前 ASVS 4.0 區分成 3 個 Levels 來進行安全標準:

  • Level 1 : Basic
    所有應用服務的應達成的最低安全標準,且當應用服務當中不儲存也不處理任何敏感資訊時,除了 PT (Penetration Testing)之外,理應可透過工具全自動化完成 Level 1 的安全標準規範(當然要透過手動檢查也可以)。完成 Level 1 的安全標準規範時,也應能達成 OWASP Top 10 提到的安全問題檢查。

  • Level 2 : Standard
    通常應用服務會發生任何 B2B 交易行為時,或是處理一些敏感資訊必須保障其服務行為時,就要達成此 Level 2 的安全標準。若能達成 Level 2 的安全標準,基本上也將能防範目前資訊業界中的絕大多數安全威脅。

  • Level 3 : Advanced
    如果應用服務觸及到須有高可用、高保證、高價值等敏感領域時,例如: 醫療健康、軍事領域、金融交易、重大關鍵基礎設施...等方面,應達成此 Level 3 的安全標準。

此 3 個 Level 應該進行的安全要求與開發流程對照表:
OWASP-ASVS 4.0
上圖取自 OWASP Application Security Verification Standard 4.0.3 文件的 Figure 1

按照 ASVS 4.0 所設計的安全控制項目總計有 286 個,但卻提供了一個很好的安全指引與作法給團隊,並且讓團隊的開發與安全有了很好的規劃的方向,是相當值得的應用準則。

OWASP Mobile Top 10 Risks

由於這個基金會在每幾年就會列出 Mobile 資安風險類別的前 10 名的並進行公告,通稱 "Top 10 Mobile Risks" ,來作為一個提升 Mobile 應用的資安應用認知 "基本" 文件,最近一年發佈則為 2016 年。

其對應的 Controls 與 設計原則則可觀看:
https://owasp.org/www-project-mobile-top-10/#div-controls

OWASP MASVS

而在 OWASP 底下有一個專案叫做 "MASVS" (理想上就是要對應 ASVS),並訂立出其目標(畢竟對於 Web 應用來說,Mobile 應用還算年輕):

"Define the industry standard for mobile application security."

目前 OWASP MASVS (Mobile Application Security Verification Standard) Prpject 發展到 1.4.2 的版本。

其相關的內容也可以到 GitHub 的 OWASP/MASVS 觀看了解。

其安全驗證等級分成三種:

OWASP-MASVS

  • MASVS-L1: 標準安全等級。
  • MASVS-L2: 縱深防禦(加強安全等級)。
  • MASVS-R: 反逆向工程和竄改的韌性。

其 MASVS 詳細內容的介紹,可直接到 GitHub 觀看 OWASP/MASVS 繁體中文版 觀看的各章節介紹,由於其翻譯品質相當良好,在此就不贅述。



上一篇
建構安全軟體開發 EP 07
下一篇
建構安全軟體開發 EP 09
系列文
建構安全軟體開發30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言