總覽
複雜系統透過雲端對雲端整合功能連線,因此必須採用標準方式來保護消費者資料和隱私權。過去十年來,雲端基礎架構安全性大幅提升。不過,應用程式層仍存在重大安全性挑戰。
CASA 採用 OWASP 應用程式安全防護驗證標準 (ASVS) 的業界認可標準,提供一組基本安全控制措施,應在雲端應用程式中實作。此外,如果應用程式需要存取 Google 使用者資料,且必須進行這類評估,CASA 就能提供統一的評估方式。CASA 新增了多層級評估方法,可因應使用者、範圍和其他應用程式專屬項目,評估風險的潛在變化。雖然我們強烈建議進行第三方評估,但我們也提供自評計畫,讓所有公司都能開始提升安全性。如果符合這項計畫的資格,Google 會直接與您聯絡,啟動後續步驟。
優點
我們希望推動業界為使用者提供透明度,讓他們在應用程式的資料安全和隱私權方面,獲得期望的控制權。對雲端應用程式和後端服務進行安全評估,可大幅減少常見安全漏洞,同時提升消費者對最終產品和服務的信心。
運作方式
CASA 架構提供網路應用程式技術安全控管的測試基礎,測試依據為 OWASP 應用程式安全防護驗證標準 (ASVS)。
CASA 架構提供測試指南,可評估應用程式安全性驗證標準 4.0 的 14 個類別
安全評估等級:
CASA 認可雲端應用程式的三個評估層級
評估必須符合 OWASP ASVS 4.0 安全標準的 CASA 基準規定。評估的目的是對外部可存取的介面進行功能稽核,且有時間限制,不包括雲端基礎架構或內部伺服器通訊。建議開發人員在整個開發過程中執行安全評估。不過,CASA 每年只需要更新安全性評估報告。
建議開發人員審查並導入第 1 級和第 2 級 ASVS 規格中的所有控制項,但 ADA 僅要求部分完整的 ASVS 需求。
授權實驗室合作夥伴:|
評估人員 |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| KPMG |
| Leviathan Security |
| NCC Group |
| NST Cyber |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC |
| TAC Security |
| DEKRA |