Web Uygulama Güvenliği Kontrol Listesi 2010’u, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması gereken denetim adımlarını içeren bir dokümantasyon projesi olarak 30 Ağustos 2010 tarihinde yayınlamıştık.
Web Uygulama Güvenliği Kontrol Listesi 2012’de ise, ilk dokümana göre bir çok iyileştirme yapılmıştır. Bu yeni ikinci sürümde yapılan başlıca değişiklikler aşağıda listelenmiştir;
• Kategorilerde OWASP Testing Guide’ın kategorileri temel alınmıştır.
• Her kontrol maddesi ayrıca ASVS (OWASP Application Security Verification Standard) kategorileri ile de eşlenmiştir.
• Risk seviyesi ve de sorumlular kısmı revize edilmiştir.
• Excel dokümanında kontrollerin aktif olup olmadığına verilecek “Evet” / “Hayır” / “—” cevabına göre farklı risk seviyesindeki ve de toplamdaki güvenlik durumu grafiksel olarak gösterilmektedir. “—” seçeneği ilgili güvenlik kontrolünün denetlenen sistemin kapsamının dışında olduğunu gösterir ve grafiksel gösterimlerde değerlendirmeye alınmaz.
• Kontrol listesi, PDF belgesine ek olarak Excel formatında da sunulmuştur. Bu sayede proje esnasında güvenlik aktivitelerinin durumlarının bir araç yardımı ile takip edilebilmesine olanak sağlanmıştır.
Web Uygulama Güvenliği Kontrol Listesi 2012`nin hazırlanış aşamasında katkıda bulunanlara teşekkür ederiz.
İlgili dökümanın Excel versiyonu ve PDF versiyonu indirilebilir.