Novas normas de segurança da OWASP

A versão 2.1 do conjunto de regras permite introduzir uma lista de verificações de segunça nos ciclos de desenvolvimento das aplicações.

Andrew van der Stock_Threat IntelligenceO Open Web Application Security Project (OWASP) apresentou a última versão do código-fonte aberto do Application Security Verification Standards (ASVS). A versão 2.1 do conjunto foi lançado na conferência AppSec UE 2015 depois de criada pelos 40 mil membros da OWASP.

A edição mais recente das normas permitirá às equipas de projecto incorporarem a lista de verificação de testes de segurança, em ciclos de desenvolvimento, para avaliar a segurança inerente à aplicação.

O principal autor das regras e consultor da Threat Intelligence, Andrew van der Stock, diz que estas foram especificamente concebidas para satisfazer as necessidades de verificação de segurança de todo o desenvolvimento das aplicações.

“O lançamento da versão 2.1 é uma conquista significativa”, sustenta. “Indivíduos e organizações de todo o mundo podem agora tomar decisões informadas sobre os riscos de segurança para software em desenvolvimento”, diz o especialista.

O ASVS coloca uma lista de verificação de nível profissional nas mãos de cada equipa de projecto. Há 133 elementos de controlo dentro dele. Incluem autenticações, controlos de acesso, falhas de lógica de negócios, protecção de dados, encriptação, validação de importações, cifragem e auditoria.

Os critérios propostos cobrem riscos de aplicações móveis também e o conjunto pode mudar de escala para responder às necessidades pequenas e grandes das equipas de projecto. Os programadores serão capazes de escolher e aplicar o mais apropriado de três níveis: análise automática e verificação; dados de identidade e aplicações de alto risco.




Deixe um comentário

O seu email não será publicado