Der OWASP Application Security Verification Standard (ASVS), eben in Version 4.0.2 erschienen, beantwortet die folgenden Fragen:
- 1. ) Wie sieht eine sichere Anwendung aus?
- 2.) Wie teste ich eine Anwendung?
- 3.) An was können sich meine Entwickler halten? (er liefert neben funktionalen v.a. auch nicht-funktionale Requirements)
Er ist mMn die beste weil aktuellste Guideline im Bereich AppSec.
Das gute ist, dass er mehrere Zielgruppen anspricht: Security-Leute (Tester, Hacker) und Entwickler.
Nachteil ist, dass es etwas Zeit braucht ihn zu lesen/verstehen. Als erste Adresse (auch für KMUs, StartUps) sind die OWASP Preventive Top 10 besser weil “knackiger” und man geht nicht in Controls unter.
