跳过内容

简介

新版本可用!

您正在查看 OWASP 十大主动控制措施 的旧版(2018版)。当前版本是 OWASP 十大主动控制措施 2024

OWASP 十大主动控制措施 2018 是一个安全技术列表,应在每个软件开发项目中加以考虑。本文档旨在帮助刚接触安全开发的开发人员。

本文档的主要目标之一是提供具体的实用指导,帮助开发人员构建安全的软件。这些技术应在软件开发的早期阶段主动应用,以确保最大效率。

十大主动控制措施

该列表按重要性排序,其中第1项最重要

  • OWASP-2018-C1: 定义安全需求
  • OWASP-2018-C2: 利用安全框架和库
  • OWASP-2018-C3: 安全的数据库访问
  • OWASP-2018-C4: 编码和转义数据
  • OWASP-2018-C5: 验证所有输入
  • OWASP-2018-C6: 实现数字身份
  • OWASP-2018-C7: 强制访问控制
  • OWASP-2018-C8: 随处保护数据
  • OWASP-2018-C9: 实现安全日志和监控
  • OWASP-2018-C10: 处理所有错误和异常

此列表的创建方式

此列表最初由当前项目负责人创建,并得到了多位志愿者的贡献。该文档随后在全球范围内分享,以便甚至匿名建议也能被考虑。通过这种开放的社区流程,接受了数百项更改。

目标受众

本文档主要为开发人员编写。但是,开发经理、产品负责人、质量保证专业人员、项目经理以及任何参与软件构建的人员也可以从本文档中受益。

如何使用本文档

本文档旨在提供关于构建安全软件的初步认识。它还将为推动入门级软件安全开发人员培训提供良好的主题基础。这些控制措施应在所有应用程序中一致且彻底地使用。然而,本文档应被视为一个起点,而非一套全面的技术和实践。一个完整的安全开发过程除了应包括 OWASP ASVS 等标准中的全面要求外,还应包含 OWASP SAMM 和 BSIMM 等成熟度模型中描述的各种软件开发活动。

OWASP 十大主动控制措施 类似于 OWASP Top 10,但侧重于防御技术和控制,而不是风险。本文档中的每项技术或控制都将映射到基于风险的 OWASP Top 10 中的一项或多项。此映射信息包含在每个控制措施描述的末尾。