Proyecto OWASP para un Estándar de Verificación en la Seguridad de Aplicaciones

Application Security Verification Standard (ASVS); o por su traducción al idioma español; Estándar para la Verificación de la Seguridad en Aplicaciones, es un esfuerzo comunitario para establecer un framework o marco de trabajo sobre requerimientos en seguridad, y controles los cuales se enfocan en normalizar los controles de seguridad funcional y no funcional, requeridos cuando se diseña, desarrolla y prueban aplicaciones web modernas.

ASVS es la culminación de un esfuerzo comunitario y retroalimentación de la industria. Es importante calificar las experiencias sobre casos de uso real relacionados hacia la adopción del ASVS. Esto ayuda a los recién llegados hacia el estándar, planear la adopción del ASVS, mientras ayuda a la compañías existentes a aprender desde las experiencias de otros.

Es probable nunca se esté un 100% de acuerdo con el estándar. El análisis del riesgo es siempre subjetivo hasta cierto punto, lo cual crear un reto cuando se intenta generalizar en una talla única a todos los estándares. Sin embargo, se espera estar en la dirección correcta, mejorando respetuosamente los conceptos introducidos en este importante estándar de la industria.

ASVS tiene dos objetivos principales:

  • Ayudar a las organizaciones a desarrollar y mantener aplicaciones seguras.
  • Permitir a los servicios de seguridad, proveedores de herramientas de seguridad, y clientes alinear sus requerimientos y ofertas.

Niveles para la Verificación de Seguridad en Aplicaciones

El estándar para la verificación de seguridad en aplicaciones define tres niveles de verificación para la seguridad, con cada nivel incrementando su profundidad.

  • ASVS Nivel 1 es para todo el software.
  • ASVS Nivel 2 es para las aplicaciones conteniendo datos sensibles, los cuales requieren protección.
  • ASVS Nivel 3 es para las aplicaciones más críticas, aplicaciones realizando transacciones de alto valor, conteniendo datos médicos sensibles, o cualquier aplicación el cual requiera un alto nivel de confianza.

Cada nivel del ASVS contiene una lista de requerimientos para la seguridad. Cada uno de estos requerimientos puede también ser mapeado hacia características y capacidades específicas en seguridad, los cuales deben ser construidos en el software por los desarrolladores.

Como utilizar el Estándar

Una de las mejores maneras de utilizar el estándar para la verificación de seguridad en aplicaciones, es utilizarlo para crear una lista de verificación para codificación seguridad específica para una aplicación, plataforma u organización. Adaptar ASVS a casos propios incrementará el enfoque sobre los requerimientos en seguridad, los cuales son más importantes para los proyectos y entornos.

Fuentes:

https://www.owasp.org/index.php/Category:OWASP_Application_Security_Veri...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1