OWASP ASVS
¿Qué es OWASP ASVS?
OWASP ASVSApplication Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs.
El OWASP Application Security Verification Standard (ASVS) es una lista mantenida por la comunidad de requisitos de seguridad detallados y verificables, organizados en capitulos que cubren autenticacion, gestion de sesiones, control de acceso, criptografia, validacion, errores, proteccion de datos, comunicaciones, configuracion, logica de negocio y mas. ASVS define tres niveles: Nivel 1 para escaneo oportunista, Nivel 2 para aplicaciones con datos sensibles y Nivel 3 para sistemas de alta seguridad. La version 5.0 publicada en 2025 reorganiza los requisitos en torno a arquitecturas modernas de API y SPA. Los equipos usan ASVS como contrato entre seguridad y desarrollo y como base para revisiones de codigo, threat modeling, scoping de pentest y evidencias para estandares como PCI DSS.
● Ejemplos
- 01
Un proveedor SaaS publica una atestacion ASVS L2 para responder cuestionarios de seguridad de clientes corporativos.
- 02
Informe de pentest que asocia cada hallazgo con un ID concreto de requisito de ASVS v5.
● Preguntas frecuentes
¿Qué es OWASP ASVS?
Application Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa OWASP ASVS?
Application Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs.
¿Cómo funciona OWASP ASVS?
El OWASP Application Security Verification Standard (ASVS) es una lista mantenida por la comunidad de requisitos de seguridad detallados y verificables, organizados en capitulos que cubren autenticacion, gestion de sesiones, control de acceso, criptografia, validacion, errores, proteccion de datos, comunicaciones, configuracion, logica de negocio y mas. ASVS define tres niveles: Nivel 1 para escaneo oportunista, Nivel 2 para aplicaciones con datos sensibles y Nivel 3 para sistemas de alta seguridad. La version 5.0 publicada en 2025 reorganiza los requisitos en torno a arquitecturas modernas de API y SPA. Los equipos usan ASVS como contrato entre seguridad y desarrollo y como base para revisiones de codigo, threat modeling, scoping de pentest y evidencias para estandares como PCI DSS.
¿Cómo defenderse de OWASP ASVS?
Las defensas contra OWASP ASVS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OWASP ASVS?
Nombres alternativos comunes: Application Security Verification Standard, ASVS.
● Términos relacionados
- compliance№ 781
OWASP Top 10
Documento de concienciación de OWASP que enumera los riesgos de seguridad más críticos para las aplicaciones web, actualizado periódicamente a partir de datos reales de vulnerabilidades.
- compliance№ 782
OWASP WSTG
Web Security Testing Guide de OWASP, manual open source completo que describe como probar aplicaciones web frente a las debilidades de seguridad mas comunes.
- compliance№ 778
OWASP MASVS
Mobile Application Security Verification Standard de OWASP, conjunto base de requisitos de seguridad verificables para aplicaciones moviles iOS y Android.
- compliance№ 780
OWASP SAMM
Software Assurance Maturity Model de OWASP, marco para medir y mejorar las practicas de desarrollo seguro de software de una organizacion a lo largo del tiempo.
- appsec№ 982
Programación segura
Práctica de escribir código fuente minimizando los defectos de seguridad, siguiendo patrones defensivos, reglas específicas del lenguaje y guías reconocidas.
- compliance№ 204
Cumplimiento normativo
Disciplina que asegura el cumplimiento de requisitos legales, regulatorios, contractuales e internos de seguridad mediante controles documentados, evidencia y evaluación continua.
● Véase también
- № 774OWASP API Security Top 10
- № 783OWASP ZAP
- № 776OWASP Dependency-Check
- № 801Modelo de amenazas PASTA
- № 143CAPEC