是否有任何web应用程序安全标准？

Question

是否有任何web应用程序安全标准可用作web应用程序、web服务和第三方支持/托管的应用程序的安全相关需求的基准？

如何管理web应用程序的安全风险，以及我期望看到的预防和纠正控制是什么？

此外，我们如何为web应用程序提供安全遵从性？

根据我的发现，我发现大多数组织都制定了自己的标准/准则，比如

• 保护应用程序和用户

我是否错了，因为没有普遍的标准？

Answer 1

在奥地利，我们或多或少有一个由SecConsult编写的标准，它松散地基于OWASP文档。您可以在这里找到更多信息：http://www.a7700.org/index_e.html

Answer 2

据我所知，没有“通用”标准，但有几个标准，你可以作为一个参考点。

• 美国国家标准与技术研究所( NIST )提供出版物。800-53
• 如果您正在处理医疗保健信息，则有一组HIPAA标准。
• 如果您保存信用卡信息，就有PCI标准集。
• 最后，还有一个更通用的OWASP 应用安全验证标准

这些只是我知道的几个而已。您为自己构建的标准将取决于应用程序的性质，并且信息是服务/存储的。然而，上面的资源应该可以帮助您了解您可能想要记住的事情，或者按照您自己的标准工作。

Answer 3

取决于具体用例(行业类型、国家法规等)web应用程序可能需要满足各种不同标准的要求。一些值得一提的标准如下：

• OWASP应用程序安全验证标准4.0.3
• 国家技术研究所特别出版物800-218
• 国际标准化组织27034
• 互联网安全关键安全控制中心16:应用软件安全

除了正式的标准，您可能想看看OWASP前十名或CWE/SANS前25名这样的项目。