Revisão de Segurança (ASVS)
- Home
- Nossos Serviços
- AppSec & DevSecOps
- Revisão de Segurança (ASVS)
Segurança de Aplicações
A revisão de segurança da aplicação busca identificar a presença de controles e requisitos de segurança implementados na aplicação levando em consideração sua característica e criticidade ao negócio.
Como resultado, é possível identificar se as aplicações possuem os requisitos necessários para evitar incidentes de segurança ou impactos na operação relacionados à segurança do código.
O Que é ASVS?
O OWASP ASVS (Application Security Verification Standard) é um padrão desenvolvido pela OWASP que contempla uma lista de requisitos e controles de segurança de aplicações a fim de garantir que os controles tenham sido implementados durante o ciclo de desenvolvimento.
O OWASP ASVS pode ser utilizado por arquitetos, desenvolvedores, times de appsec, security champions, pentesters e fornecedores de software para definir, criar, testar e verificar os aplicações seguras como parte de uma estratégia de gestão de segurança de aplicações. A versão atual do padrão é 4.01 atualizada em março de 2019. O projeto OWASP ASVS está em execução há mais de 10 anos e é mantido ativamente pela comunidade.
O padrão funciona como uma diretriz durante todo o ciclo de vida da aplicação, onde ajuda a definir os requisitos de segurança antecipadamente, integrá-los a um SDLC (Software Development Lifecycle) e verificar se os mesmos estão sendo atendidos adequadamente. Também pode ser usado para avaliar e verificar a segurança de uma aplicação já existente.
O ASVS possui três níveis de requisitos que são sugeridos conforme a criticidade do sistema para o negócio:
Nível 1
É o nível mais básico e que toda aplicação não-transacional deveria utilizar, como sites e blogs. Pode ser validado por meio de um pentest.
Nível 2
Recomendado para aplicações e sistemas que contêm dados pessoais e é o nível recomendado para a maior parte das aplicações.
Nível 3
Recomendado para aplicações críticas e transacionais, que contém dados pessoais sensíveis, como registros médicos, dados financeiros ou qualquer outra aplicação que requeira um alto nível de confiabilidade.