概览
随着复杂系统通过云到云集成进行连接,采用标准方式来保护消费者数据和隐私权变得非常重要。过去十年,云基础架构安全性有了很大提升。不过,应用层仍存在严重的安全挑战。
CASA 基于 OWASP 的应用安全验证标准 (ASVS) 中行业广泛认可的标准,提供了一组应在云应用中实现的基本安全控制措施。此外,当应用需要访问 Google 用户数据时,CASA 还提供了一种统一的方式来评估这些控制措施。CASA 增加了一种多级评估方法,以应对基于用户、范围和其他应用特定项目的潜在风险变化。虽然我们强烈建议进行第三方评估,但我们也为所有公司提供了一种通过自我评估计划开始提高安全性的方法。如果您符合此计划的条件,Google 会直接与您联系,以便开始执行后续步骤。
优势
我们希望推动整个行业为用户提供他们期望的透明度和控制权,以便用户能够掌控自己所用应用的数据安全和隐私保护设置。 对云应用和后端服务执行安全评估将大大减少常见漏洞,同时提高消费者对最终产品和服务的信心。
运作方式
CASA 框架基于 OWASP 应用安全验证标准 (ASVS),为测试 Web 应用技术安全控制功能提供了基础。
CASA 框架提供测试指南,用于根据应用安全验证标准 4.0 的 14 个类别评估 Web 应用
安全评估层级:
CASA 认可云应用的三种评估级别
评估必须符合 OWASP ASVS 4.0 安全标准中的 CASA 基准要求。评估旨在对外部可访问的接口进行限时的功能审核,不包括云基础架构或内部服务器通信。建议开发者在整个开发过程中执行安全评估。不过,CASA 仅要求每年更新一次安全评估报告。
建议开发者查看并实现 1 级和 2 级 ASVS 规范中的所有控制措施,不过,ADA 仅要求满足部分 ASVS 要求。
授权实验室合作伙伴:|
评估人员 |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| KPMG |
| Leviathan Security |
| NCC Group |
| NST Cyber |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC |
| TAC 安全 |
| DEKRA |