OWASP ASVS
Was ist OWASP ASVS?
OWASP ASVSOWASP Application Security Verification Standard, ein Katalog testbarer Sicherheitsanforderungen fur Entwurf, Bau und Verifikation von Webanwendungen und APIs.
Der OWASP Application Security Verification Standard (ASVS) ist eine von der Community gepflegte Liste detaillierter, testbarer Sicherheitsanforderungen, gegliedert nach Authentifizierung, Session-Management, Zugriffskontrolle, Kryptografie, Validierung, Fehlerbehandlung, Datenschutz, Kommunikation, Konfiguration, Geschaftslogik und mehr. ASVS definiert drei Level: Level 1 fur opportunistische Scans, Level 2 fur Anwendungen mit sensiblen Daten und Level 3 fur Hochsicherheitssysteme. Version 5.0 (2025) ordnet die Anforderungen an moderne API- und SPA-Architekturen an. Teams nutzen ASVS als Vertrag zwischen Security und Entwicklung und als Grundlage fur Code-Reviews, Threat Modeling, Pentest-Scoping und Compliance-Nachweise z.B. fur PCI DSS.
● Beispiele
- 01
Ein SaaS-Anbieter veroffentlicht eine ASVS-L2-Attestierung, um Sicherheitsfragebogen von Enterprise-Kunden zu beantworten.
- 02
Pentest-Bericht, der jedes Finding auf eine konkrete ASVS-v5-Anforderungs-ID abbildet.
● Häufige Fragen
Was ist OWASP ASVS?
OWASP Application Security Verification Standard, ein Katalog testbarer Sicherheitsanforderungen fur Entwurf, Bau und Verifikation von Webanwendungen und APIs. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet OWASP ASVS?
OWASP Application Security Verification Standard, ein Katalog testbarer Sicherheitsanforderungen fur Entwurf, Bau und Verifikation von Webanwendungen und APIs.
Wie funktioniert OWASP ASVS?
Der OWASP Application Security Verification Standard (ASVS) ist eine von der Community gepflegte Liste detaillierter, testbarer Sicherheitsanforderungen, gegliedert nach Authentifizierung, Session-Management, Zugriffskontrolle, Kryptografie, Validierung, Fehlerbehandlung, Datenschutz, Kommunikation, Konfiguration, Geschaftslogik und mehr. ASVS definiert drei Level: Level 1 fur opportunistische Scans, Level 2 fur Anwendungen mit sensiblen Daten und Level 3 fur Hochsicherheitssysteme. Version 5.0 (2025) ordnet die Anforderungen an moderne API- und SPA-Architekturen an. Teams nutzen ASVS als Vertrag zwischen Security und Entwicklung und als Grundlage fur Code-Reviews, Threat Modeling, Pentest-Scoping und Compliance-Nachweise z.B. fur PCI DSS.
Wie schützt man sich gegen OWASP ASVS?
Schutzmaßnahmen gegen OWASP ASVS kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für OWASP ASVS?
Übliche alternative Bezeichnungen: Application Security Verification Standard, ASVS.
● Verwandte Begriffe
- compliance№ 781
OWASP Top 10
Awareness-Dokument der OWASP, das die kritischsten Sicherheitsrisiken für Webanwendungen auflistet und periodisch anhand realer Schwachstellendaten aktualisiert wird.
- compliance№ 782
OWASP WSTG
OWASP Web Security Testing Guide, ein umfassendes Open-Source-Handbuch, das beschreibt, wie Webanwendungen auf die haufigsten Sicherheitsschwachen getestet werden.
- compliance№ 778
OWASP MASVS
OWASP Mobile Application Security Verification Standard, eine Basislinie testbarer Sicherheitsanforderungen fur iOS- und Android-Mobile-Apps.
- compliance№ 780
OWASP SAMM
OWASP Software Assurance Maturity Model, ein Rahmenwerk zur Messung und Weiterentwicklung der Secure-Software-Development-Praktiken einer Organisation.
- appsec№ 982
Sicheres Programmieren
Praxis, Quellcode so zu schreiben, dass Sicherheitsmängel minimiert werden — durch defensive Muster, sprachspezifische Regeln und anerkannte Leitlinien.
- compliance№ 204
Compliance
Die Disziplin, gesetzliche, regulatorische, vertragliche und interne Sicherheitsanforderungen durch dokumentierte Kontrollen, Nachweise und laufende Bewertung einzuhalten.
● Siehe auch
- № 774OWASP API Security Top 10
- № 783OWASP ZAP
- № 776OWASP Dependency-Check
- № 801PASTA-Threat-Model
- № 143CAPEC