跳过内容

相关OWASP项目

OWASP 是一个由志愿者驱动的组织。这些志愿者贡献了许多有用的文档,本节将介绍一些相关的OWASP文档和项目

OWASP Top 10

最知名的OWASP文档是OWASP Top 10。它们详细介绍了最常见的Web应用程序漏洞,也是本文档的基础。与此不同,本文档侧重于防御技术和控制措施,而非风险。本文档中的每个控制措施都将映射到基于风险的OWASP Top 10中的一个或多个项目。此映射信息包含在每个控制措施描述的末尾。

OWASP ASVS

OWASP 应用程序安全验证标准 (ASVS) 是一个可用安全要求和验证标准的目录。OWASP ASVS 可以为开发团队提供详细的安全要求来源。安全要求根据共享的高级安全功能分为不同的类别。例如,ASVS 包含诸如身份验证、访问控制、错误处理/日志记录和Web服务等类别。每个类别都包含一组代表该类别最佳实践的要求,并以可验证的声明形式起草。

OWASP SAMM

软件保障成熟度模型 (SAMM) 是一个开放框架,旨在帮助组织实施一套针对组织特定风险定制的软件安全成熟度策略。 SAMM 支持完整的软件生命周期,可用于识别什么

通用威胁建模

威胁建模是安全应用程序开发的重要组成部分,它有助于识别潜在的安全威胁,推导安全要求,并定制安全控制措施以防止潜在威胁。成功使用安全要求涉及四个步骤:发现、文档化、实施以及验证应用程序内功能的正确实施。威胁建模是推导安全要求的一种方法。其他来源包括:行业标准、适用法律、过去漏洞的历史记录。诸如OWASP Threat Dragon等建模工具可用于创建威胁模型图,作为安全开发生命周期的一部分。

领域特定文档

值得注意的是,本文档主要侧重于Web应用程序,但其他Top 10榜单也可能适用于您的应用程序。例如:

  • OWASP API Top 10
  • OWASP 移动应用程序Top 10