OWASP/ASVS

# OWASP Application Security Verification Standard [][cc-by-sa] 本作品根据 [Creative Commons Attribution-ShareAlike 4.0 International License][cc-by-sa] 授权。 [][cc-by-sa] 🎉🎉🎉 **欢迎访问 ASVS 5.0 版本！** 🎉🎉🎉 **在 2025 年巴塞罗那全球 AppSec EU 大会上现场发布！** ## 简介 OWASP Application Security Verification Standard (ASVS) 项目的主要目标是针对各类 Web 应用程序和 Web 服务，提供一个开放的应用程序安全标准。 ASVS 最初于 2008 年通过全球社区协作启动，为设计、开发和测试现代 Web 应用程序及服务定义了一套全面的安全要求。 继 2019 年发布 ASVS 4.0 及 2021 年的小版本更新（v4.0.3）之后，5.0 版本代表了一个重要的里程碑——经过现代化更新，以反映软件安全的最新进展。 我们要诚挚感谢那些通过投入大量时间或提供资金来支持该项目的组织，详情请见我们的“[支持者](SUPPORTERS.md)”页面！ **如果您发现任何错误或有想法，请[记录问题](https://github.com/OWASP/ASVS/issues)。随后我们可能会根据问题讨论要求您[提交 Pull Request](https://github.com/OWASP/ASVS/pulls)。我们也正在积极寻找 [5.n 分支的翻译](CONTRIBUTING.md#translations)。** ## 项目负责人和工作组 该项目由三位项目负责人 [Daniel Cuthbert](https://github.com/danielcuthbert)、[Josh Grossman](https://github.com/tghosth) 和 [Elar Lang](https://github.com/elarlang) 领导。 他们得到了 ASVS 工作组的支持，成员包括 [Shanni Prutchi](https://github.com/EnigmaRosa)、[Ralph Andalis](https://github.com/csfreak92)、[Meghan Jacquot](https://github.com/meghanjacquot)、[Iman Sharafaldin](https://github.com/ImanSharaf)、[Ryan Armstrong](https://github.com/ryarmst)、[Gabriel Corona](https://github.com/randomstuff)、[Tobias Ahnoff](https://github.com/TobiasAhnoff) 和 [Eden Yardeni](https://github.com/cronchie)。 ## 最新稳定版本 - 5.0.0 最新稳定版本是 5.0.0（日期为 2025 年 5 月），可通过以下途径获取： * [OWASP Application Security Verification Standard 5.0.0 英文版 (PDF)](https://github.com/OWASP/ASVS/raw/v5.0.0/5.0/OWASP_Application_Security_Verification_Standard_5.0.0_en.pdf) * [OWASP Application Security Verification Standard 5.0.0 英文版 (Word)](https://github.com/OWASP/ASVS/raw/v5.0.0/5.0/docs_en/OWASP_Application_Security_Verification_Standard_5.0.0_en.docx) * [OWASP Application Security Verification Standard 5.0.0 英文版 (CSV)](https://github.com/OWASP/ASVS/raw/v5.0.0/5.0/docs_en/OWASP_Application_Security_Verification_Standard_5.0.0_en.csv) * [OWASP Application Security Verification Standard 5.0.0 (GitHub Branch)](https://github.com/OWASP/ASVS/tree/v5.0.0) 本代码库的 master 分支将始终是“前沿版本”，其中可能包含正在进行中的更改或其他开放编辑。下一个发布目标将是一个补丁版本，版本号为 **5.0.1**。有关 ASVS 发布策略的详细信息，请参阅 [CONTRIBUTING.md 中的发布策略部分](CONTRIBUTING.md#release-strategy)。 ### 翻译 OWASP 社区在翻译方面尽了最大努力。虽然我们尽最大努力确保内容有效，但从结构角度来看，我们能做的只有这么多来确保翻译的正确性。我们依靠您——社区——来帮助 ASVS 尽可能地服务全球用户，将主分支翻译成您的语言对项目至关重要。 如果您认为您可以帮助翻译，或者确保下面当前的翻译列表正确无误，我们非常欢迎您加入社区，让 ASVS 为所有人带来精彩体验。有关翻译 ASVS 的更多信息，请参阅 [CONTRIBUTING.md 中的翻译部分](CONTRIBUTING.md#translations)。 当前可用的翻译： * [OWASP Application Security Verification Standard 5.0.0 土耳其语版 (PDF)](https://github.com/OWASP/ASVS/raw/v5.0.0/5.0/OWASP_Application_Security_Verification_Standard_5.0.0_tr.pdf) 和 [其他格式](https://github.com/OWASP/ASVS/raw/v5.0.0/5.0/docs_tr)。（感谢 [Ata Seren](https://github.com/ataseren)） * [OWASP Application Security Verification Standard 5.0.0 俄语版 (PDF)](https://github.com/OWASP/ASVS/raw/v5.0.0/5.0/OWASP_Application_Security_Verification_Standard_5.0.0_ru.pdf) 和 [其他格式](https://github.com/OWASP/ASVS/raw/v5.0.0/5.0/docs_ru)。（感谢 [Khalina Daria](https://github.com/whitealisia), [Shnayder Eugenia](https://github.com/ZhenyaShnayder), [Smirnov Vyacheslav](https://github.com/Borgc), [Mukovkin Dmitry](https://github.com/shipko), [Nadezhda](https://github.com/yoshtvoumed), [Fomin Danil](https://github.com/EvtDanya), Sluzhevsky Anton, [Zolotarev Maxim](https://github.com/kibertard), [Gorky Kirill](https://github.com/ToxicSnail), [Nosenko Aleksei](https://github.com/avnosenko)） * [OWASP Application Security Verification Standard 5.0.0 法语版 (PDF)](https://github.com/OWASP/ASVS/raw/v5.0.0/5.0/OWASP_Application_Security_Verification_Standard_5.0.0_fr.pdf) 和 [其他格式](https://github.com/OWASP/ASVS/raw/v5.0.0/5.0/docs_fr)。（感谢 [Cédric Lallier](https://github.com/clallier94), [Alexandre Joly](https://github.com/inaz0), [Michael Vacarella](https://github.com/Aif4thah), [Sebastien Gioria](https://github.com/SPoint42) 和 [Gabriel Corona](https://github.com/randomstuff)） * [OWASP Application Security Verification Standard 5.0.0 韩语版 (PDF)](https://github.com/OWASP/ASVS/raw/v5.0.0/5.0/OWASP_Application_Security_Verification_Standard_5.0.0_ko.pdf) 和 [其他格式](https://github.com/OWASP/ASVS/raw/v5.0.0/5.0/docs_ko)。（感谢 [박우현(Park WooHyun)](https://github.com/woohyun212), [김용환(Kim YongHwan)](https://github.com/prokyhsigma), [조예진(Jo YeJin)](https://github.com/yejinj), [이본영(Lee BonYeong)](https://github.com/FoO-511), [박재욱(Park JaeWook)](https://github.com/ffinguMac), [박준범(Park JunBeom)](https://github.com/blatter95), [차원제(Cha WonJe)](https://github.com/breakpack), [신승민(Shin SeungMin)](https://github.com/COKEPAIN), [이준서(Lee JunSeo)](https://github.com/typemnm), [박민균(Park MinGyun)](https://github.com/survey05), [윤현정(Youn HyunJung)](https://github.com/kimchiudon), [이지훈(Lee JiHun)](https://github.com/effortjh1112), [김어진(Kim EoJin)](https://github.com/rladjwls57), [오모세(O Moses)](https://github.com/wwwahtp), [정수진(Jeong SooJin)](https://github.com/zsxen), [이하린(Lee HaRin)](https://github.com/sari-harin), [양 진(Yang Jin)](https://github.com/yjiiny) 和 [정민석(Jung MinSuk)](https://github.com/j93es)） v4.x 版本的历史翻译可以在 4.0 文件夹的 [TRANSLATIONS.md 文件](4.0/TRANSLATIONS.md)中找到。 ## 如何引用 ASVS 要求 每个要求都有一个格式为 `<章节>.<小节>.<要求>` 的标识符，其中每个元素都是数字。例如，`1.11.3`。 * `<章节>`值对应于要求所在的章节；例如，所有 `1.#.#` 要求都来自“编码和清理”章节。 * `<小节>`值对应于该要求在该章节中出现的小节，例如：所有 `1.2.#` 要求都位于“编码和清理”章节的“注入防护”小节中。 * `<要求>`值标识了章节和小节中的具体要求，例如 `1.2.5`，截至本标准 5.0.0 版本，其内容为： 由于标识符可能会随标准版本的不同而变化，因此建议其他文档、报告或工具使用以下格式：`v<版本>-<章节>.<小节>.<要求>`，其中“版本”是 ASVS 版本标签。例如：`v5.0.0-1.2.5` 应被理解为特指 5.0.0 版本中“编码和清理”章节“注入防护”小节的第 5 个要求。（这可以概括为 `v<版本>-<要求标识符>`。） 注意：格式中位于版本号前的 `v` 应始终为小写。 如果使用的标识符未包含 `v<版本>` 元素，则应假定它们指的是最新的 Application Security Verification Standard 内容。随着标准的发展和变化，这会带来问题，这就是为什么作者或开发人员应包含版本元素。 ## 许可证 整个项目内容均在 **[Creative Commons Attribution-Share Alike v4.0](https://creativecommons.org/licenses/by-sa/4.0/)** 许可证下发布。

标签：API安全, ASVS, DevSecOps, DNS解析, JSON输出, meg, SDLC, TLS抓取, Web安全, XML 请求, 上游代理, 中间件漏洞, 代码审查, 信息安全, 后端开发, 安全合规, 安全开发, 安全测试, 安全需求, 安全验证标准, 开源项目, 攻击性安全, 渗透测试框架, 网络代理, 网络安全, 蓝队分析, 软件安全, 防御, 防御加固, 隐私保护