L'Application Security Verification Standard (ASVS) d'OWASP és un marc de treball que proporciona una llista de requisits de seguretat per a aplicacions web. Implementar ASVS en projectes ajuda a assegurar que les aplicacions compleixin amb els estàndards de seguretat necessaris per protegir-se contra vulnerabilitats comunes. En aquesta secció, explorarem com implementar ASVS en projectes de desenvolupament de programari.

ASVS defineix tres nivells de verificació, cadascun amb un conjunt de requisits de seguretat:

• Nivell 1: Requisits bàsics de seguretat per a aplicacions que no gestionen dades sensibles.
• Nivell 2: Requisits per a aplicacions que gestionen dades sensibles o personals.
• Nivell 3: Requisits per a aplicacions d'alta seguretat, com ara aplicacions financeres o de salut.

Determina el nivell de verificació adequat per al teu projecte basant-te en la sensibilitat de les dades que l'aplicació gestionarà i els riscos associats. Això es pot fer mitjançant una anàlisi de riscos.

Mapeja els requisits d'ASVS als processos de desenvolupament existents. Això inclou:

• Requisits de disseny: Assegura't que els requisits de seguretat es considerin durant la fase de disseny.
• Requisits de codificació: Implementa pràctiques de codificació segura.
• Requisits de proves: Desenvolupa proves de seguretat per verificar que els requisits es compleixen.

Integra els requisits d'ASVS en cada fase del SDLC:

• Planificació: Inclou requisits de seguretat en els documents de requisits del projecte.
• Disseny: Realitza revisions de disseny de seguretat.
• Desenvolupament: Utilitza eines de revisió de codi i anàlisi estàtica per detectar vulnerabilitats.
• Proves: Realitza proves de penetració i escanejos de vulnerabilitats.
• Desplegament: Assegura't que les configuracions de seguretat es mantinguin durant el desplegament.
• Manteniment: Realitza auditories de seguretat periòdiques i actualitzacions de seguretat.

Proporciona formació contínua als desenvolupadors i altres membres de l'equip sobre els requisits d'ASVS i les millors pràctiques de seguretat.

Implementa mecanismes de monitoratge per assegurar-te que els requisits de seguretat es compleixen durant tot el cicle de vida de l'aplicació. Realitza avaluacions periòdiques per identificar i corregir possibles desviacions.

Suposem que estàs desenvolupant una aplicació web per a una empresa financera que gestionarà informació sensible dels clients, com ara dades bancàries i informació personal.

1. Seleccionar el Nivell de Verificació:

   • A causa de la naturalesa sensible de les dades, seleccionem el Nivell 3 d'ASVS.

2. Mapejar els Requisits d'ASVS:

   • Disseny: Incloure autenticació multifactor (MFA) i xifrat de dades.
   • Codificació: Utilitzar pràctiques de codificació segura per evitar injeccions SQL.
   • Proves: Desenvolupar proves de penetració per verificar la seguretat de l'autenticació i el xifrat.

3. Integrar ASVS en el SDLC:

   • Planificació: Documentar els requisits de seguretat en els documents de requisits del projecte.
   • Disseny: Realitzar revisions de disseny de seguretat per assegurar que MFA i xifrat estiguin correctament implementats.
   • Desenvolupament: Utilitzar eines com SonarQube per a l'anàlisi estàtica del codi.
   • Proves: Realitzar proves de penetració amb OWASP ZAP.
   • Desplegament: Assegurar que les configuracions de seguretat es mantinguin durant el desplegament.
   • Manteniment: Realitzar auditories de seguretat periòdiques.

4. Formació i Sensibilització:

   • Proporcionar formació als desenvolupadors sobre pràctiques de codificació segura i els requisits específics d'ASVS.

5. Monitoratge i Avaluació:

   • Implementar eines de monitoratge per detectar i respondre a incidents de seguretat en temps real.
   • Realitzar avaluacions periòdiques per assegurar que els requisits de seguretat es compleixen.

Objectiu: Implementar els requisits de seguretat d'ASVS en una aplicació web fictícia.

Instruccions:

1. Selecciona un nivell de verificació adequat per a una aplicació web que gestiona dades personals dels usuaris.
2. Mapeja els requisits d'ASVS als processos de desenvolupament existents.
3. Descriu com integraràs aquests requisits en cada fase del SDLC.
4. Proporciona un pla de formació per als desenvolupadors.
5. Descriu com monitoritzaràs i avaluaràs la seguretat de l'aplicació.

Solució:

1. Nivell de Verificació:

   • Nivell 2, ja que l'aplicació gestiona dades personals dels usuaris.

2. Mapejar els Requisits d'ASVS:

   • Disseny: Incloure autenticació segura i xifrat de dades.
   • Codificació: Utilitzar pràctiques de codificació segura per evitar vulnerabilitats com XSS i CSRF.
   • Proves: Desenvolupar proves de seguretat per verificar la implementació de l'autenticació i el xifrat.

3. Integrar ASVS en el SDLC:

   • Planificació: Documentar els requisits de seguretat en els documents de requisits del projecte.
   • Disseny: Realitzar revisions de disseny de seguretat.
   • Desenvolupament: Utilitzar eines d'anàlisi estàtica del codi.
   • Proves: Realitzar proves de penetració.
   • Desplegament: Assegurar que les configuracions de seguretat es mantinguin durant el desplegament.
   • Manteniment: Realitzar auditories de seguretat periòdiques.

4. Pla de Formació:

   • Proporcionar formació sobre pràctiques de codificació segura i els requisits específics d'ASVS.

5. Monitoratge i Avaluació:

   • Implementar eines de monitoratge per detectar i respondre a incidents de seguretat en temps real.
   • Realitzar avaluacions periòdiques per assegurar que els requisits de seguretat es compleixen.

Implementar ASVS en projectes de desenvolupament de programari és essencial per assegurar que les aplicacions compleixin amb els estàndards de seguretat necessaris. Seguint els passos descrits en aquesta secció, els equips de desenvolupament poden integrar els requisits de seguretat en cada fase del SDLC, proporcionant una protecció robusta contra vulnerabilitats comunes.