跳过内容

相关OWASP项目

OWASP 是一个由志愿者驱动的组织。这些志愿者贡献了许多有用的文档,本节将介绍一些相关的OWASP文档和项目

OWASP十大

最著名的OWASP文档是OWASP十大。它们详细说明了最常见的Web应用程序漏洞,也是本文档的基础。相比之下,本文档侧重于防御技术和控制措施,而不是风险。本文档中的每个控制措施都将映射到基于风险的OWASP十大中的一个或多个项目。此映射信息包含在每个控制措施说明的末尾。

OWASP ASVS

OWASP 应用程序安全验证标准 (ASVS) 是可用安全要求和验证标准的目录。OWASP ASVS 可以成为开发团队详细安全要求的来源。安全要求根据共享的高级安全功能分为不同的类别。例如,ASVS 包含身份验证、访问控制、错误处理/日志记录和Web服务等类别。每个类别都包含一系列要求,这些要求以可验证的陈述形式代表了该类别的最佳实践。

OWASP SAMM

软件保障成熟度模型 (SAMM) 是一个开放框架,旨在帮助组织实施针对其特定风险量身定制的软件安全成熟度策略。. SAMM 支持完整的软件生命周期,可用于识别

通用威胁建模

威胁建模是安全应用程序开发的重要组成部分,它有助于识别潜在的安全威胁,推导出安全要求,并定制安全控制措施以防止潜在威胁。成功使用安全要求涉及四个步骤:发现、文档化、实施以及验证应用程序内功能的正确实施。威胁建模是推导安全要求的一种方式。其他来源包括:行业标准、适用法律、过往漏洞历史。建模工具,例如OWASP Threat Dragon,可用于创建威胁模型图,作为安全开发生命周期的一部分。

特定领域文档

值得注意的是,本文档主要关注Web应用程序,但其他十大列表也可能适用于您的应用程序。例如:

  • OWASP API 十大
  • OWASP 移动应用程序十大