# Vorwort Willkommen zum Application Security Verification Standard (ASVS) Version 4.0. Der ASVS ist eine von der Community gesteuerte Initiative, die Rahmenbedingungen für Sicherheitsanforderungen und -maßnahmen auf Anwendungsebene schaffen will. Ihr Schwerpunkt liegt auf der Definition der funktionalen und nicht funktionalen Sicherheitsmaßnahmen, die beim Entwerfen, Entwickeln und Testen moderner Webanwendungen und Webservices erforderlich sind. Version 4.0.3 ist das dritte kleine Update der Version 4.0. Es bereinigt Rechtschreibfehler und beschreibt Anforderungen deutlicher, ohne jedoch wesentliche Änderungen, wie das Ändern, Verschärfen oder Hinzufügen von Anforderungen, einzuführen. An einigen Stellen, an denen wir es für geboten hielten, haben wir Anforderungen abgeschwächt. Einige redundante Anforderungen sind entfallen, jedoch ohne neu zu nummerieren. ASVS v4.0 ist das Ergebnis gemeinschaftlicher Anstrengungen und des Feedbacks der Branche der letzten zehn Jahre. Wir haben versucht, die Anwendung des ASVS für viele unterschiedlich geartete Anwendungsfälle und für die Dauer jedes sicheren Softwareentwicklungszyklus einfacher zu gestalten. Risikoanalyse ist in gewissem Maße immer subjektiv. Wir gehen daher davon aus, dass es wohl nie eine 100%ige Einigung über den Inhalt eines Webanwendungsstandards, einschließlich des ASVS, geben wird. Es ist eine Herausforderung diese mit einen universellem und für alle gleichen Standard zu verallgemeinern. Wir hoffen jedoch, dass diese neue Version einen Schritt in die richtige Richtung darstellt und die Konzepte verbessert, die in diesem Standard eingeführt wurden. ## Was ist neu in Version 4.0 Die wichtigste Änderung in dieser Version ist die Annahme der NIST 800-63-3-Richtlinien zur digitalen Identität, mit denen moderne, evidenzbasierte und erweiterte Authentifizierungsmaßnahmen eingeführt werden. Obwohl wir einen gewissen Widerstand bei der Anpassung an einen erweiterten Authentifizierungsstandard erwarten, halten wir es für wesentlich, dass Standards angepasst werden, vor allem wenn ein anderer angesehener Anwendungssicherheitsstandard evidenzbasiert ist. Informationssicherheitsstandards sollten versuchen, die Anzahl der spezifischen Anforderungen zu minimieren, damit konforme Organisationen nicht über konkurrierende oder inkompatible Maßnahmen entscheiden müssen. Die OWASP Top 10 2017 und nun auch der OWASP Application Security Verification Standard sind jetzt in Bezug auf Authentifizierung und Sessionmanagement an NIST 800-63 angepasst worden. Wir ermutigen andere Normungsgremien, mit uns, NIST und anderen zusammenzuarbeiten, um allgemein anerkannte Maßnahmen der Anwendungssicherheit zu erarbeiten, wodurch die Sicherheit maximiert und Compliancekosten minimiert werden. In ASVS 4.0 wurde ein neues Nummerierungsschema eingeführt. Dadurch konnten wir die Lücken weggefallener Kapitel schließen und längere Kapitel neu unterteilen. Weiterhin minimiert es die Anzahl der Maßnahmen, die vom Entwickler oder Team einzuhalten sind. Wenn eine Anwendung beispielsweise kein JWT verwendet, so gilt der gesamte Abschnitt zu JWT für deren Sessionmanagement nicht. Wir haben eine umfassende Zuordnung zur Common Weakness Enumeration (CWE), eine der am häufigsten gewünschten Funktionsanforderungen, die wir im letzten Jahrzehnt hatten, neu eingeführt. Mit der CWE-Zuordnung können Toolhersteller und Benutzer von Software zum Schwachstellenmanagement die Ergebnisse anderer Tools und früherer ASVS-Versionen abgleichen. Um Platz für den CWE-Eintrag zu schaffen, haben wir die Spalte „Seit“ entfernt. Sie ist in der neuen Nummerierung auch weniger sinnvoll. Nicht jeder Anforderung, z. B. sehr generischen, konnte eine CWE zugeordnet werden. Da CWE sehr vielfältig ist, haben wir versucht, die am meisten verwendete und nicht unbedingt die genaueste Übereinstimmung zu verwenden. Wir begrüßen die laufende Diskussion mit der CWE-Community, diese Lücke im Allgemeinen zu schließen. Wir haben uns bemüht, die Anforderungen in Bezug auf die OWASP Top 10 2017 und die OWASP Proactive Controls 2018 umfassend zu erfüllen und zu übertreffen. Da die OWASP Top 10 2017 lediglich das Mindestmaß zur Vermeidung von Fahrlässigkeit darstellt, haben wir bewusst alle Anforderungen außer denen der spezifischen Logging Top 10 zu Maßnahmen der Stufe 1 gemacht. Dies vereinfacht die Anpassung an den derzeitigen Sicherheitsstandard für diejenigen, die OWASP Top 10 übernehmen. ASVS 4.0 Stufe 1 soll die Anforderungen von PCI DSS 3.2.1, Abschnitt 6.5 für Anwendungsdesign, Programmierung, Tests, Überprüfungen von sicheren Codes und Penetrationstests vollständig abdecken. Daher wurden der Pufferüberlauf sowie die unsicheren Speicheroperationen in V5 und unsichere speicherbezogene Compilierflags in V14 zusätzlich zu den bestehenden Anforderungen für die Verifizierung von Anwendungen und Webservices aufgenommen. Wir haben die Umstellung des ASVS von monolithischen, ausschließlich serverseitigen Maßnahmen auf Sicherheitsmaßnahmen für alle modernen Anwendungen und APIs abgeschlossen. In Zeiten funktionaler Programmierung, serverloser API, Mobiltelefon, Cloud, Containern, CI / CD und DevSecOps, Föderation und mehr können wir die moderne Anwendungsarchitektur nicht länger ignorieren. Moderne Anwendungen werden ganz anders gestaltet als diejenigen, die zur Zeit der Veröffentlichung des ursprünglichen ASVS im Jahr 2009 erstellt wurden. Dar ASVS muss immer weit in die Zukunft schauen, damit wir unserer Hauptzielgruppe - den Entwicklern - fundierte Ratschläge geben können. Wir haben alle Anforderungen geändert oder gestrichen, die davon ausgehen, dass Anwendungen auf Systemen ausgeführt werden, die einer einzelnen Organisation gehören. Aufgrund der Größe des ASVS 4.0 sowie unseres Ziels, den ASVS als Basis aller anderen ASVS-Ausarbeitungen zu benutzen, haben wir den mobilen Bereich zugunsten des Mobile Application Security Verification Standard (MASVS) eingestellt. Der Anhang zum Internet of Things (IoT) wird in einem künftigen ASVS IoT bei der Pflege des OWASP IoT-Projektes erscheinen. Wir haben eine frühe Vorschau des ASVS IoT in Anhang C aufgenommen. Wir danken sowohl dem OWASP Mobile Team als auch dem OWASP IoT Projektteam für ihre bei ASVS geleistete Unterstützung und freuen uns darauf, in Zukunft bei der Erstellung ergänzender Standards mit ihnen zusammenzuarbeiten. Schließlich haben wir weniger wirksame Maßnahmen bereinigt. Im Laufe der Zeit ist der ASVS zu einer umfangreichen Ansammlung von Maßnahmen angewachsen, die aber nicht alle gleich gut sind. Die Bereinigung von Anforderungen mit nur geringer Auswirkung könnte künftig noch weiter gehen. In einer zukünftigen Ausgabe des ASVS wird das Common Weakness Scoring System (CWSS) dazu beitragen, die wirklich wichtigen Maßnahmen weiter zu priorisieren. Ab Version 4.0 wird sich der ASVS ausschließlich darauf konzentrieren, der führende Webanwendungs- und Webservicestandard zu sein, welcher die traditionelle und moderne Anwendungsarchitektur sowie agile Sicherheitspraktiken und die DevSecOps-Kultur abdeckt.