h t i g b u c . 5 m o OWASP 十大主动控制项目 关于 OWASP Open Web Application Security Project (OWASP) 是一个 501c3 非盈利性教育慈善机构, 致力于使组织机构能够设计、开发、获取、运营和维护安全的软件。所有 OWASP 的工 具、文档、论坛和区域分会都是免费的，并对任何有兴趣提高应用程序安全性的人士 开放。我们的网站是：www.owasp.org 。 OWASP 是一个新型组织。我们没有商业压力，使得我们能够提供无偏见、实用、低 成本的应用安全信息。 c . 5 m o OWASP 不隶属于任何技术公司。和许多开源软件项目一样，OWASP 以一种协作、开 放的方式制作了许多不同种类的材料。OWASP 基金会是确保项目长期成功的非营利性 组织。 h t i g 关于 OWASP 中国 b u OWASP 中国是 OWASP 安全组织在中国区域的分部，是全球 262 个区域分部之一。 OWASP 中国成立于 2008 年，在过去 11 年的发展历程中，OWASP 中国已在国内形成 了超过 20 个子区域（包括：北京、上海、广东、广西、浙江、江苏、陕西、山西、四 川、吉林、辽宁、黑龙江等区域），并吸引了超过 6000 名行业专家成为 OWASP 中国 区会员、3 家国内企业成为 OWASP 中国企业会员单位、3 家高等院校成为 OWASP 中 国学术支持单位。 v 3.0 © 2002-2018 OWASP 基金会 本文档依照《知识共享署名授权许可协议 3.0》发布 2 OWASP 十大主动控制项目 前言 不安全的软件正在破坏着我们的金融、医疗、国防、能源和其他全球重要基础设施。 随着我们的软件变得愈加重要、复杂且相互关联，实现应用程序安全的难度也呈指数 级增长。我们已经不能再忍受相对简单的安全问题了。 目标 OWASP Top 10 Proactive Controls (OPC) 项目的目标是描述软件开发人员必须注意的最 重要领域，提高开发人员对应用程序安全性的认识。我们鼓励大家使用 OWASP OPC 项目让开发人员关注和做好应用安全。开发人员可以从其他组织的错误中吸取教训。 我们希望 OWASP OPC 对软件研发团队构建安全的软件有所帮助。 联系我们 c . 5 m o 若您有关于 OWASP OPC 项目的任何疑问、评论和想法，欢迎直接和我们联系， jim@owasp.org。 版权与许可 b u 本文档基于《Creative Commons Attribution Share-Alike 3.0 license》发布。任何重复 h t i g 使用或发行，都必须向他人澄清该文档的许可条例。 项目领导者 Katy Anton 项目贡献者 Jim Bird Jim Manico Chris Romeo Dan Anderson David Cybuck Dave Ferguson Josh Grossman Osama Elnaggar Colin Watson Rick Mitchell 其他人 中文项目 项目负责人：王颉 项目组成员：郭振新、李瑞、李永凯、秦波、张京河 注：由于中文项目组成员翻译水平有限，存在的错误敬请指正。如有任何意见或建议，可联 系我们。邮箱：project@owasp.org.cn v 3.0 © 2002-2018 OWASP 基金会 本文档依照《知识共享署名授权许可协议 3.0》发布 3 OWASP 十大主动控制项目 文档结构 本文档提供了安全控制的列表。每个控制的描述如下： OWASP ProActive Controls v 3.0 Cx: 控制名称（Control Name） 描述 m o __________________________________________________________________________________________ ____________________________________________________________ c . 5 有关控制机制的详细描述,包括需 实现方法 要考虑的一些最佳实践。 b u __________________________________________________________________________________________ h t i g ______________________________________________________________________________________ 预防的缺陷 • _____________ • _____________ 参考文献 • _____________ • _____________ 工具 实现的最佳实践和示例,以说明 如何实现每个控制机制。 已预防缺陷或已消除风险的列表（OWASP TOP 10、 CWE 等）。 提供进一步研究的参考文献列表 （ OWASP Cheat Sheet、Security Hardening Guidelines 等）。 • _____________ • _____________ 能把安全控制机制轻松引入或集成到软件中的工具 项目集。 v 3.0 © 2002-2018 OWASP 基金会 本文档依照《知识共享署名授权许可协议 3.0》发布 4 OWASP 十大主动控制项目 简介 OWASP 十大主动控制 2018 是一组每个软件开发项目都应考虑和实现的安全技术列表。 本文档是为开发人员编写的,以帮助刚接触安全开发的开发人员。 本文档的主要目标之一是提供具体的实践指导，以帮助开发人员开发安全的软件。这 些控制机制应在软件开发的早期阶段积极应用，以确保能产生最大的效力。 十大主动控制 本列表按重要性排序，其中第 1 个列表项是最重要的： C1：定义安全需求（Define Security Requirements） c . 5 C2：使用安全框架和库（Leverage Security Frameworks and Libraries） C3：安全的数据库访问（Secure Database Access） b u C4：数据编码与转义（Encode and Escape Data） C5：验证所有输入（Validate All Inputs） h t i g m o C6：实现数字身份（Implement Digital Identity） C7：实施访问控制（Enforce Access Controls） C8：保护所有的数据（Protect Data Everywhere） C9：实施安全日志记录和监控（Implement Security Logging and Monitoring） C10：处理所有错误和异常（Handle All Errors and Exceptions） 本列表的创建方式 此列表最初由当前的项目负责人创建，并由几位志愿者参与。然后，本文档在全球范 围内共享，因此，全球范围内的任何反馈建议都可以考虑，包括匿名建议。目前，本 项目已接受了来自 OWASP 社区超百项建议。 v 3.0 © 2002-2018 OWASP 基金会 本文档依照《知识共享署名授权许可协议 3.0》发布 5 OWASP 十大主动控制项目 本文档的目标受众 本文档主要是写给开发人员参考学习的。但是，开发经理、产品所有人、Q/A 专业人 员、项目经理和参与构建软件的任何人都可以从本文档中受益。 如何使用本文档 本文档旨在提供有关构建安全软件的初始意识。另外，本文档还为帮助推动入门性软 件安全开发人员培训提供了良好的基础素材。这些控制应在所有应用程序中被一致、 m o 彻底地使用。然而，本文档应被视为一个抛砖引玉的起点，而不是一套全面的技术和 做法。完整的安全开发过程应包含来自于行业标准（如：OWASP ASVS）中的全面要 求，以及在软件安全开发成熟度模型(如：OWASP SAMM 和 BSIMM)中描述的一系列软 c . 5 件安全开发实践活动。 b u 本项目与 OWASP Top 10 项目的关联关系 OWASP 十大主动控制项目与 OWASP Top 10 项目相似，但本项目更聚焦于防御技术和 h t i g 控制机制，而不是风险。本文档中的每个技术或控制都将映射到 OWASP Top 10 中的 一个或多个风险项。此映射信息包含在每个控制描述的末尾。 v 3.0 © 2002-2018 OWASP 基金会 本文档依照《知识共享署名授权许可协议 3.0》发布 6 OWASP 十大主动控制项目 OWASP ProActive Controls v 3.0 C1: 明确安全需求 Define Security Requirements 描述 安全需求是对所需安全功能的声明，以确保软件各不相同的安全属性均能得到实现。 安全需求来源于行业标准、适用法律和历史安全漏洞。安全需求定义了新特性或者是 为了解决特定的安全问题或消除潜在的漏洞，而对现有功能提出额外要求。 m o 安全需求为应用程序提供审核安全功能的基础。统一标准的安全需求容许开发人员复 用安全控制措施和最佳实践，而不是单独每个应用程序自定义安全实现。经过审核的 安全需求为历史安全缺陷提供解决方案。需求的存在防止之前安全教训的重演。 OWASP ASVS 项目 c . 5 b u OWASP 应用软件安全级别验证参考标准（ASVS）项目提供了有效的安全需求和验证 标准，可以作为开发团队详细安全需求的来源。 h t i g 安全需求根据更高级别的安全功能分为不同的要点。例如：ASVS 包含身份验证、访问 控制、错误处理/日志记录和 Web 服务等类别。每个类别都包含一组代表可验证需求 的最佳实践。 通过用户故事（user stories）和误用案例（misuse cases）扩展需求 ASVS 需求是基本的可验证声明，可以通过用户故事和误用案例加以扩展。用户故事或 误用案例的优势在于它将应用程序与用户或攻击者对应用系统的具体操作结合起来， 而不是描述系统为用户提供了什么。 下面是一个扩展 ASVS 3.0.1 需求的例子。在 ASVS 3.0.1 的“验证和认证需求”章节中， 需求 2.19 主要关注默认密码。 2.19 验证应用程序框架或应用程序使用的任