OWASP ASVS
Что такое OWASP ASVS?
OWASP ASVSOWASP Application Security Verification Standard — каталог проверяемых требований безопасности для проектирования, разработки и верификации веб-приложений и API.
OWASP Application Security Verification Standard (ASVS) — поддерживаемый сообществом список детализированных и проверяемых требований безопасности, разбитый на главы: аутентификация, управление сессиями, контроль доступа, криптография, валидация, ошибки, защита данных, коммуникации, конфигурация, бизнес-логика и др. ASVS определяет три уровня: Level 1 для оппортунистического сканирования, Level 2 для приложений с чувствительными данными и Level 3 для систем высокой степени доверия. Версия 5.0, выпущенная в 2025 году, перестроена под современные API- и SPA-архитектуры. Команды используют ASVS как контракт между безопасностью и разработкой и как основу для код-ревью, моделирования угроз, скоупинга пентестов и доказательной базы соответствия PCI DSS и другим стандартам.
● Примеры
- 01
SaaS-поставщик публикует аттестацию по ASVS L2, чтобы отвечать на корпоративные опросники безопасности.
- 02
Отчёт пентеста, где каждое замечание сопоставлено с конкретным ID требования ASVS v5.
● Частые вопросы
Что такое OWASP ASVS?
OWASP Application Security Verification Standard — каталог проверяемых требований безопасности для проектирования, разработки и верификации веб-приложений и API. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает OWASP ASVS?
OWASP Application Security Verification Standard — каталог проверяемых требований безопасности для проектирования, разработки и верификации веб-приложений и API.
Как работает OWASP ASVS?
OWASP Application Security Verification Standard (ASVS) — поддерживаемый сообществом список детализированных и проверяемых требований безопасности, разбитый на главы: аутентификация, управление сессиями, контроль доступа, криптография, валидация, ошибки, защита данных, коммуникации, конфигурация, бизнес-логика и др. ASVS определяет три уровня: Level 1 для оппортунистического сканирования, Level 2 для приложений с чувствительными данными и Level 3 для систем высокой степени доверия. Версия 5.0, выпущенная в 2025 году, перестроена под современные API- и SPA-архитектуры. Команды используют ASVS как контракт между безопасностью и разработкой и как основу для код-ревью, моделирования угроз, скоупинга пентестов и доказательной базы соответствия PCI DSS и другим стандартам.
Как защититься от OWASP ASVS?
Защита от OWASP ASVS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OWASP ASVS?
Распространённые альтернативные названия: Application Security Verification Standard, ASVS.
● Связанные термины
- compliance№ 781
OWASP Top 10
Информационный документ OWASP, перечисляющий наиболее критические риски безопасности веб-приложений и обновляемый по реальным данным о уязвимостях.
- compliance№ 782
OWASP WSTG
OWASP Web Security Testing Guide — подробное открытое руководство по тестированию веб-приложений на типовые слабости безопасности.
- compliance№ 778
OWASP MASVS
OWASP Mobile Application Security Verification Standard — базовый набор проверяемых требований безопасности для мобильных приложений iOS и Android.
- compliance№ 780
OWASP SAMM
OWASP Software Assurance Maturity Model — модель для измерения и развития практик безопасной разработки ПО в организации со временем.
- appsec№ 982
Безопасное программирование
Практика написания исходного кода, минимизирующая дефекты безопасности за счёт оборонительных паттернов, языковых правил и общепризнанных руководств.
- compliance№ 204
Соответствие требованиям
Дисциплина обеспечения соблюдения законов, нормативных актов, договорных и внутренних требований безопасности через документированные меры контроля, сбор доказательств и регулярную оценку.
● См. также
- № 774OWASP API Security Top 10
- № 783OWASP ZAP
- № 776OWASP Dependency-Check
- № 801Модель угроз PASTA
- № 143CAPEC