软件安全开发指南:应用软件安全级别验证参考标准
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第2章 评估软件是否达到验证水平

2.1 使用指导

《OWASP应用程序安全性验证标准》可用作应用程序的开放式验证标准,包括无限制地访问关键资源(如架构师、开发人员)、项目文档、源代码、验证的访问测试系统(包括各角色至少访问一个账户),特别是ASVS 2级和ASVS 3级验证标准。

通常,渗透测试和安全代码审查包括“异常”的问题只在最终报告中才会出现。组织必须在相关报告中包括验证范围(特别是,如果关键组件超出范围的情况,例如,SSO认证)、验证结果的摘要,包括通过和失败的测试,并明确指出如何解决测试失败。

保存详细的工作文件、屏幕截图或电影、可靠的和重复暴露问题的脚本、电子测试记录(例如,代理日志、相关注释等)被认为是标准行业实践,并且可以作为开发者非常有用的研究证据。简单地运行工具并报告失败是不够的,这不能够提供足够的证据来证明所有的认证级别问题已经经过彻底的测试。如有争议,应有足够的证据证明每个经过验证的要求都经过测试。