OWASP:n Application Security Verification Standard (ASVS) on vakiinnuttanut paikkansa ohjelmistojen tietoturvatestaamisen keskeisenä standardina. Uusi versio ASVS 5.0 tuo mukanaan useita käytännön parannuksia ja selkeyttää merkittävästi standardin käyttöä sekä testauksen toteuttamista.
Mikäli kaipaat tarkempaa tietoa siitä, mitä ASVS-tietoturvatestaus yleisesti tarkoittaa, tutustu aikaisempaan blogiimme: ASVS-testaus standardinmukaisesti on määrämittainen auditointi ohjelmiston ja sen arkkitehtuurin tietoturvaan
ASVS 5.0 – selkeämpi rakenne ja tarkempi kohdistus
ASVS 5.0 eroaa merkittävästi versiosta 4.0 rakenteen, vaatimusten ja soveltamisen osalta:
- Tietoturvan tavoitteet ennen tarkkoja mekanismeja
Aiempi versio 4.0 keskittyi usein tiettyjen turvallisuusmekanismien vaatimiseen. Uudessa versiossa vastaavat vaatimukset lähtevät tavoitteista, jolloin organisaatiolla on enemmän vapautta valita tarkoituksenmukaisin toteutustapa. Tarkat mekanismi mainitaan ja niitä vaaditaan vain, jos ne nähdään välttämättöminä tai havainnollistavat toteutusta. - Laajempi uudelleenjärjestely ja karsinta
Vain pieni osa edellisen version vaatimuksista säilyi ennallaan. Yli kolmasosa version 4.0 vaatimuksista on joko poistettu, yhdistetty tai ainakin niiden sisältöä on selkeytetty huomattavasti. Tämä selkeyttää koko standardia ja auttaa välttämään päällekkäisyyksiä testauksen aikana. - Uudet luvut ja sisällölliset lisäykset
ASVS 5.0 ottaa huomioon modernit teknologiat ja sovellusarkkitehtuurit. Standardiin on lisätty kokonaan uudet luvut OAuth:iin ja OpenID Connectin (OIDC) sekä WebRTC:n liittyen.
Selkeyttä myös dokumentointivaatimuksiin
ASVS 5.0:n merkittävä käytännöllinen uudistus on dokumentointivaatimusten selkeämpi määrittely. Aiemmin epäsuorasti edellytetyt dokumentoinnit, kuten uhkamallinnukset ja turvallisuusratkaisujen perustelut, on nyt kirjattu vaatimuksiin yksiselitteisesti. Tämä tekee auditoinneista johdonmukaisempia ja läpinäkyvämpiä sekä varmistaa, että sovelluksen ratkaisujen turvallisuuteen liittyvät päätökset ovat aidosti dokumentoituja ja jäljitettäviä.
Muutokset ASVS:n tasojen määrittelyssä
ASVS-tasojen (L1–L3) määrittely koki myös merkittäviä muutoksia:
- L1 – minimitaso, joka jokaisen sovelluksen tulisi täyttää
Versiossa 4.0 L1-tason vaatimuksia oli paljon, ja osa niistä oli vaikea toteuttaa ja testata käytännössä. Versiossa 5.0 L1-taso keskittyy selkeämmin minimitason vaatimuksiin ja vaatimuksia on määrällisesti noin puolet siitä, mitä aiemmin. Tämä tekee L1-tason saavuttamisesta helpompaa ja madaltaa kynnystä standardin mukaiseen testaukseen. - L2 – perustaso
L2 sisältää laajemmat vaatimukset, jotka soveltuvat sovelluksille, jotka käsittelevät arkaluonteisia tietoja tai hoitavat yrityksen kannalta tärkeitä toimintoja. Uudistusten myötä L2-tason saavuttaminen on käytännössä paremmin mahdollista, toisin kuin versiossa 4.0, jossa tämä oli usein hankalaa. - L3 – korkean tietoturvan erityisvaatimukset
L3-taso on suunniteltu sovelluksille, joilla on erityisen korkeat turvallisuusvaatimukset, kuten valtion, pankkien tai sotilasjärjestelmien käyttöön tarkoitetut sovellukset. L3:n kattavuus auttaa pienentämään tietoturvariskejä entisestään.
Miksi ASVS 5.0 on merkittävä päivitys?
ASVS 5.0:n muutokset tekevät auditoinneista helpommin sovellettavia, läpinäkyvämpiä ja paremmin nykypäivän sovellusarkkitehtuuria vastaavia.
Sovellusta kehittävälle organisaatiolle uuteen standardiin sopeutuminen ja sen mukainen tietoturvatestaus tarkoittaa:
- Selkeämpää ja ymmärrettävämpää auditointiprosessia.
- Parempaa joustavuutta sovelluksen turvallisuuden toteuttamisessa.
- Kattavampaa dokumentaatiota tietoturvapäätöksistä ja -ratkaisuista.
- Parempaa sovellettavuutta moderneihin teknologioihin, kuten OAuth, WebRTC ja selainpohjaiset frontend-arkkitehtuurit.
ASVS 5.0:n mukainen testaus varmistaa kattavasti, että sovellus vastaa nykyajan tietoturvavaatimuksia ja tarjoaa uskottavan, standardinmukaisen todistuksen sovelluksen turvallisuudesta asiakkaille, viranomaisille sekä muille sidosryhmille.
Jos haluat keskustella lisää ASVS-testauksesta, ota meihin yhteyttä: info@2ns.fi. Kartoitamme tilanteesi ja autamme valitsemaan tarpeisiisi sopivan ASVS-testauksen tason ja toteutustavan.