OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 6 / 286•14 个分类
V1.14.1通过明确定义的安全控制、防火墙规则、API 网关、反向代理、基于云的安全组或类似机制,验证不同信任级别组件的隔离情况控制项
Architecture / 配置架构
通过明确的安全控制、防火墙规则、API 网关、反向代理、基于云的安全组或类似机制,验证不同信任级别组件的隔离情况。
评估
评估状态:
评估备注:
V1.14.2二进制签名、受信任的连接和经过验证的端点用于将二进制文件部署到远程设备控制项
Architecture / 配置架构
验证是否使用二进制签名、受信任的连接和已验证的端点来将二进制文件部署到远程设备。
评估
评估状态:
评估备注:
V1.14.3构建管道会警告过时或不安全的组件,并采取适当的措施控制项
Architecture / 配置架构
验证构建流水线是否会对过时或不安全的组件发出警告并采取适当的措施。
评估
评估状态:
评估备注:
V1.14.4构建流水线包含一个构建步骤,用于自动构建并验证应用程序的安全部署,特别是当应用程序基础设施是软件定义的,例如云环境构建脚本时控制项
Architecture / 配置架构
确认构建管道中包含一个构建步骤,以自动构建并验证应用程序的安全部署,尤其是在应用程序基础设施是软件定义的情况下,例如云环境的构建脚本。
评估
评估状态:
评估备注:
V1.14.5应用程序部署在网络级别上充分进行沙箱、容器化和/或隔离,以延迟并阻止攻击者攻击其他应用程序,特别是在执行敏感或危险操作(如反序列化)时控制项
Architecture / 配置架构
验证应用程序部署是否充分进行了沙箱化、容器化和/或网络级别隔离,以延迟并阻止攻击者攻击其他应用程序,尤其是在执行反序列化等敏感或危险操作时。(C5)
评估
评估状态:
评估备注:
V1.14.6验证应用程序不使用不受支持、不安全或已弃用的客户端技术,例如 NSAPI 插件、Flash、Shockwave、ActiveX、Silverlight、NACL 或客户端 Java applet控制项
Architecture / 配置架构
验证应用程序未使用不受支持、不安全或已弃用的客户端技术,例如 NSAPI 插件、Flash、Shockwave、ActiveX、Silverlight、NACL 或客户端 Java 小程序。
评估
评估状态:
评估备注: