OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 6 / 286•14 个分类
V14.2.1所有组件都是最新的,最好在构建或编译时使用依赖检查器控制项
Config / Dependency
验证所有组件是否是最新的,最好在构建或编译时使用依赖检查工具。 (C2)
评估
评估状态:
评估备注:
V14.2.2所有不需要的功能、文档、示例应用程序和配置都已删除控制项
Config / Dependency
确认已移除所有不需要的功能、文档、示例应用和配置。
评估
评估状态:
评估备注:
V14.2.3如果应用程序资源,例如 JavaScript 库、CSS 或网页字体,被托管在内容分发网络(CDN)或外部提供商上,则使用子资源完整性(SRI)来验证资源的完整性控制项
Config / Dependency
验证如果应用程序资源(如 JavaScript 库、CSS 或网页字体)托管在内容分发网络 (CDN) 或外部提供商处,是否使用子资源完整性 (SRI) 来验证资源的完整性。
评估
评估状态:
评估备注:
V14.2.4第三方组件来自预定义的、受信任且持续维护的仓库控制项
Config / Dependency
验证第三方组件来自预定义的、可信的且持续维护的存储库。(C2)
评估
评估状态:
评估备注:
V14.2.5软件材料清单(SBOM)记录了使用的所有第三方库控制项
Config / Dependency
确保维护所有使用中的第三方库的软件材料清单(SBOM)。(C2)
评估
评估状态:
评估备注:
V14.2.6通过将第三方库进行沙箱化或封装,只向应用程序暴露所需的功能,从而减少攻击面控制项
Config / Dependency
通过对第三方库进行沙箱化或封装,仅将所需的行为暴露给应用程序,以验证攻击面是否已减少。(C2)
评估
评估状态:
评估备注: