Hello, 各位 iT 邦幫忙 的粉絲們大家好~~~
本篇是 建構安全軟體開發 系列文的 EP08。
應該在資訊領域的從業人員都有聽說過 "OWASP (Open Web Application Security Project) Foundation" ,這個致力於資訊應用安全議題的基金會。
由於這個基金會在每幾年就會列出 Web 應用資安風險類別的前 10 名的並進行公告,通稱 "OWASP Top 10" ,來作為一個提升意識及資安認知形態 "基本" 認知的文件。
在最近一期的公告則為 2021 年,則稱為 OWASP Top 10 : 2021:
而如果想知道 OWASP Top 10 是如何完成遴選的可以參考下面連結:
The Making of th OWASP Top Ten:
https://www.owasptopten.org/themakingoftheowasptopten
但這邊要知道的是,雖然 "OWASP Top 10" 是最為知名的一份文件,但並不適合當作真實開發程式或驗證安全的測試標準,只能說是作為安全開發的最低限度的規範認知。
所以如果真要使用,應該透過 OWASP 的應用安全驗證標準 (ASVS) 來套用到安全軟體開發生命週期的所有階段當中。
目前 OWASP ASVS (Application Security Verification Standard) Prpject 發展到 4.0.3 的版本,按照其 Roadmap 的規劃所提到的 ASVS 5.0 應該會在今年(2022)底年發佈。
其相關的內容也可以在 GitHub 的 OWASP/ASVS 取得。
由於 ASVS 在 4.0.1 發佈時(2019/5/3) 已經開始有 DevOps 觀念,所以在 DevOps 當中透過採用 ASVS 4.0.3 的各種 Practices 進行來形成 DevSecOps。
目前 ASVS 4.0 區分成 3 個 Levels 來進行安全標準:
Level 1 : Basic
所有應用服務的應達成的最低安全標準,且當應用服務當中不儲存也不處理任何敏感資訊時,除了 PT (Penetration Testing)之外,理應可透過工具全自動化完成 Level 1 的安全標準規範(當然要透過手動檢查也可以)。完成 Level 1 的安全標準規範時,也應能達成 OWASP Top 10 提到的安全問題檢查。
Level 2 : Standard
通常應用服務會發生任何 B2B 交易行為時,或是處理一些敏感資訊必須保障其服務行為時,就要達成此 Level 2 的安全標準。若能達成 Level 2 的安全標準,基本上也將能防範目前資訊業界中的絕大多數安全威脅。
Level 3 : Advanced
如果應用服務觸及到須有高可用、高保證、高價值等敏感領域時,例如: 醫療健康、軍事領域、金融交易、重大關鍵基礎設施...等方面,應達成此 Level 3 的安全標準。
此 3 個 Level 應該進行的安全要求與開發流程對照表:
上圖取自 OWASP Application Security Verification Standard 4.0.3 文件的 Figure 1
按照 ASVS 4.0 所設計的安全控制項目總計有 286 個,但卻提供了一個很好的安全指引與作法給團隊,並且讓團隊的開發與安全有了很好的規劃的方向,是相當值得的應用準則。
由於這個基金會在每幾年就會列出 Mobile 資安風險類別的前 10 名的並進行公告,通稱 "Top 10 Mobile Risks" ,來作為一個提升 Mobile 應用的資安應用認知 "基本" 文件,最近一年發佈則為 2016 年。
其對應的 Controls 與 設計原則則可觀看:
https://owasp.org/www-project-mobile-top-10/#div-controls
而在 OWASP 底下有一個專案叫做 "MASVS" (理想上就是要對應 ASVS),並訂立出其目標(畢竟對於 Web 應用來說,Mobile 應用還算年輕):
"Define the industry standard for mobile application security."
目前 OWASP MASVS (Mobile Application Security Verification Standard) Prpject 發展到 1.4.2 的版本。
其相關的內容也可以到 GitHub 的 OWASP/MASVS 觀看了解。
其安全驗證等級分成三種:
其 MASVS 詳細內容的介紹,可直接到 GitHub 觀看 OWASP/MASVS 繁體中文版 觀看的各章節介紹,由於其翻譯品質相當良好,在此就不贅述。
iThome鐵人賽
看影片追技術