Der OWASP Application Security Verification Standard (ASVS), eben in Version 4.0.2 erschienen, beantwortet die folgenden Fragen:
- 1. ) Wie sieht eine sichere Anwendung aus?
- 2.) Wie teste ich eine Anwendung?
- 3.) An was können sich meine Entwickler halten? (er liefert neben funktionalen v.a. auch nicht-funktionale Requirements)
Er ist mMn die beste weil aktuellste Guideline im Bereich AppSec.
Das gute ist, dass er mehrere Zielgruppen anspricht: Security-Leute (Tester, Hacker) und Entwickler.
Nachteil ist, dass es etwas Zeit braucht ihn zu lesen/verstehen. Als erste Adresse (auch für KMUs, StartUps) sind die OWASP Preventive Top 10 besser weil “knackiger” und man geht nicht in Controls unter.
![](https://severinwinkler.at/wp-content/uploads/2020/10/markus-spiske-70Rir5vB96U-unsplash1-1024x682.jpg)