OWASP ASVS應用軟體安全性驗證標準之新舊安全性等級劃分

Security Levels between 2009 and 2014 Edition on OWASP Application Security Verification Standard

OASP ASVS 2014年版標準亦嘗試著分離的設計要求與驗證的涵蓋範圍，雖然以前版本標準並沒有明確化這些概念間的區別，徒然製造了許多困惑，但是在新版本中於L2與L3等級再將設計考慮引入詳細的核查要求以明確地分隔，並可以有選擇地驗證納入審核的第三方組件及框架，如此做法卻仍然沒有徹底解決掉設計要求與驗證的涵蓋範圍的困境，反而不如2009年舊版標準來得詳實有系統，亦是未來值得努力的方向。設計要求將是基於應用軟體開發生命週期往前回溯各階段，以及早發現錯誤並遏止其惡化；而驗證的涵蓋範圍則是需配合系統整合等級(System Integrity Level，SIL)進行更深度嚴謹的驗證方式。OASP ASVS的標準制定一直都是侷限於軟體安全性領域且獨立於相關軟體品質相關標準，當兩者重新結合一起將可相互完整，此時OASP ASVS 2009年版標準將可做為軟體驗證與確認於各階段驗證的軟體安全性驗證指引。