Sikker programvare med OWASP ASVS

På konferansen Sikkerhet & sårbarhet, 7. mai 2019 i Trondheim, deltok Erlend Andreas Gjære med en presentasjon av OWASP ASVS. Se hele innlegget i videoen under.

Du kan også laste ned  ASVS-regnearket vårt for å komme i gang selv, og eventuelt se foredraget på engelsk her fra en annen konferanse.

Kanskje har du hørt om OWASP Top 10, som er godt egnet til bevisstgjøring om de vanligste sårbarhetene i webapplikasjoner. OWASP ASVS derimot en proaktiv tilnærming til applikasjonssikkerhet, med ulike krav basert på en valgt risikoprofil.

Foredraget viser både hvordan OWASP ASVS er egnet som pedagogisk mal for sikkerhetskrav til både for kode man utvikler selv, og for applikasjoner som man kjøper fra andre.

I tillegg har vi utvidet ASVS-regnearket med egne kolonner som lar oss måle status over tid i forhold til en modenhetsskala i samsvar med tilsvarende måling vi gjør for ISO27001-tiltak i virksomheten for øvrig.

Erlend Andreas Gjære fra @securepractice viser hvordan man kan regne ut risikonivået for applikasjonssikkerhet i henhold til @owasp Application Security Verification Standard #DnDSoS pic.twitter.com/eLiNuwq4Ay

— SINTEF Infosec (@SINTEF_Infosec) May 7, 2019

Til slutt gir foredraget en kjapp sammenligning mellom ASVS og en annen kjent standard for sikkerhetskrav, nemlig Cloud Security Alliance (CSA) sin Cloud Control Matrix (CCM) og tilhørende Consensus Assessments Initiative Questionnaire (CAIQ), som vi også benytter oss av i sikkerhetsarbeidet.

Om du er interessert i å vite mer om sikkerheten i våre skytjenester, er det bare å spørre. Og bruk gjerne vår dedikerte kanal dersom du har funnet en potensiell sikkerhetsfeil hos oss.