Web应用程序安全标准/证书

Question

我目前正在研究Web应用程序/服务，希望它能以多种方式使用。当然，我也希望吸引一些商业用户，我们都知道，他们关心的是证书。所以我的问题是：

web应用程序必须拥有的最受认可、最有价值的证书是什么？

简言之，关于该项目和技术细节：

• .NET 4.5
• 基于Azure的CMS SaaS
• 用户将能够输入各种数据(上传文件)。
• 用户将能够创建自己的插件/模块。
• 它最终将是开源的(不太快)

另外，我对认证程序感兴趣，它是如何工作的？我想我将不得不对整个应用程序进行笔试，那么谁来做笔试，认证人员呢？

谢谢!

这是我在security.stackexchange上的第一篇文章，所以不要对我太苛刻:)。

Answer 1

网络应用没有真正的“认证”。我能想到的最接近的是PCI-DSS，但是它的web应用程序是最小的--它主要适用于基础设施和业务流程，并且非常关注信用卡支付。

如果你是专门寻找认证，那么web应用程序开发证书可能是一个很好的选择，一个开发人员。请注意，它们适用于开发人员，而不是应用程序。有几件事情你可以得到认证，因为你想到的是Microsoft SDL和GIAC GSSP (有一个.NET的)。

在维护网站的安全性方面，你通常会得到一个专业组织的认可，检查安全问题，然后修复它们。这样做并不能获得任何神奇的、闪亮的证书，但你确实可以享受到一种温暖的感觉，那就是你对安全的重视。另外，你的客户可能不会因为你被侵犯而起诉你，这总是很好的。

委托通常由安全咨询公司完成，但推荐特定公司不在这个网站的范围之内--没有一个答案，而且在很大程度上取决于地理位置。

如果你这样做是为了在网站上添加一个大横幅，上面写着“我们是安全的！”，我认为你最好忘记认证，只关注透明。给出您如何保证安全性的详细信息(例如密码存储机制、帐户恢复策略等)是向用户提供保证的最终形式，因为它表明您有信心提供这些信息，并允许同行评审。

Answer 2

最有价值的证书是SSL证书。撇开玩笑不说，这是一个值得通用的answer...It依赖的问题。特别是在这种情况下，这取决于您的目标受众是谁。许多大公司希望看到ISO 27001认证。如果你的目标是电子商务，他们会想要看到PCI认证。美国的医疗保健，HIPAA认证。美国政府实体，FISMA合规。其他类型的组织在其他地理区域，它可以是完全不同的东西。

所以，我不会把注意力集中在你打算成为谁的初始市场上，并弄清楚认证(如果有的话)对这些人有什么影响，并对此感到担忧。

Answer 3

我所知道的没有验证web应用程序的证书，而是用于流程的证书，例如，您可以将您的开发周期认证为ISO 27001。您还可以跟踪OWASP，以确保您进行适当的漏洞测试并遵循安全的开发生命周期。

当您提供一个SaaS时，您可以查看云安全联盟的云控制矩阵，并将您的响应提交给他们的STAR (安全、信任和保证注册)注册中心。您可以查看其他SaaS提供程序的答案，以获得在此过程中的帮助。

有许多组织谁做渗透测试-试图让测试人员与认可的证书(顶，检查，攻击性安全等)。

您可以做的另一件事是对您的代码执行静态或自动分析，并在您的站点上在安全部分中说明这一点，以代表您显示渐进的安全性。