Küresel siber güvenlik endüstrisini temsil eden, kar amacı gütmeyen uluslararası bir üyelik kuruluşu olan CREST, Open Web Application Security Project (OWASP) ile istişare halinde, küresel için yeni bir kalite güvence standardı olan OWASP Doğrulama Standardını (OVS) başlattı. uygulama güvenliği endüstrisi. CREST OVS, mobil ve web uygulaması geliştiricilerine daha fazla güvenlik güvencesi ve akredite kuruluşlara büyüyen uygulama geliştirme endüstrisine gelişmiş erişim sağlar.
CREST OVS, bir kuruluşun OWASP Uygulama Güvenliği Doğrulama Standardı (ASVS) ve OWASP Mobil Uygulama Güvenliği Doğrulama Standardı (MASVS) Düzey 1 ve Düzey 2 ile ilgili değerlendirmeleri yürütme ve sunma becerisini ölçer. ASVS ve MASVS, güvenli mobil ve web uygulamalarını tasarlamak, geliştirmek ve test etmek için gereken açık kaynaklı bir güvenlik gereksinimleri çerçevesi oluşturmak için teknik AppSec topluluğu tarafından geliştirilen OWASP projeleridir.
CREST başkanı Rowland Johnson, “CREST OVS, uygulama güvenliği değerlendirme hizmetleri alıcılarına en yüksek düzeyde güvence sağlamak için web ve mobil uygulama güvenliğinde yeni standartlar belirliyor” dedi. “Programın, bir organizasyonun yeteneklerini, bireysel güvenlik testçilerinin beceri ve yetkinliklerini değerlendirmek ve kullanmak için tasarlanmış bir dizi açık gereksinimi var.”
CREST, uygulama güvenliğini geliştirmeye odaklanan hükümetler, düzenleyiciler ve çok uluslu kuruluşlarla yakın bir şekilde çalıştığını ve hem CREST OVS Mobile hem de CREST OVS Apps akredite hizmetlerine yüksek talep olacağının beklendiğini söylüyor.
ASVS ve MASVS’den yararlanarak, CREST’in artık küresel standartlar oluşturmak ve sürdürmek için açık kaynak topluluğunu resmen desteklediği anlamına geliyor. Johnson, “CREST ve OWASP kar amacı gütmeyen kuruluşlardır ve küresel siber güvenlik standartlarını oluşturmak ve sürdürmek için sektör genelinde işbirliğini ve açık standartları artırma vizyonunu paylaşıyoruz” diye ekledi.
OWASP Vakfı İcra Direktörü Andrew van der Stock şunları söyledi: “Bu, dünya çapında kurumsal ve hükümetlerin ASVS ve MASVS projelerini benimsemesi için olumlu bir hareket. OWASP İlk 10 risk projesi, Uygulama Güvenliğinin önemi konusunda hayati bir farkındalık oluşturmuş olsa da, kuruluşların uygulama güvenliğini yapılandırılmış ve kapsamlı bir şekilde geliştirmelerine yardımcı olmak için ASVS ve MASVS gibi standartları kullanma yönündeki hareketi görmekten heyecan duyuyorum.”
OVS programına başvurmak için şirketlerin CREST Sızma Testi disiplinine akredite olmaları gerekir. Kuruluşlar ayrıca, Düzey 1 ve Düzey 2 ASVS ve MASVS hizmetlerini yürütmek ve sunmak için program gereksinimlerini karşılayabileceklerini kurumsal düzeyde göstermelidir.
Ayrıca, tüm kuruluşların ekiplerinin CREST’in Nitelikli Kişi Kaydı’nı tamamladıklarından ve her birinin CREST Davranış Kurallarını imzalamış olduğundan emin olmaları gerekecektir. Uygunluk ve CREST OVS akreditasyonu hakkında daha fazla bilgi için CREST web sitesindeki OVS sayfalarına bakın.