req_id

تعليقات مجموعة العمل

8.1.6

يجب إعادة النظر في هذا الشرط ليكون أكثر قابلية للتنفيذ (على سبيل المثال، يجب الاحتفاظ بالنُسخ الاحتياطية لمدة X فقط، ويجب مراقبة النُسخ الاحتياطية لمنع السرقة أو التلف، ويجب تدقيق النُسخ الاحتياطية بانتظام للتأكّد من إمكانية نقلها مرة أخرى إلى مرحلة الإنتاج). الافتراض الحالي واسع النطاق ويحتاج إلى مزيد من التحديد.

5.1.4

نسخة مكرّرة من حالات اختبار أخرى هذه حالة اختبار تتطلّب مجهودًا كبيرًا ولكنها لا تقدّم قيمة كبيرة. ننصحك بإزالتها.

‫7.3.3

نسخة مكرّرة من حالات اختبار أخرى هذه حالة اختبار تتطلّب مجهودًا كبيرًا ولكنها لا تقدّم قيمة كبيرة. ننصحك بإزالتها.

1.2.2

إزالة التطبيق بسبب تغطيته في متطلبات أخرى، مثل 4.1.1

2.2.4

إزالة الطلب لأنّه مشمول بالبند 4.3.1

(4.3.1 التأكّد من أنّ واجهات المشرفين تستخدم مصادقة متعدّدة العوامل مناسبة

(لمنع الاستخدام غير المصرّح به)، والتي تشمل مقاومة انتحال الهوية ضد التصيّد الاحتيالي في واجهات المشرفين ومسارات الوصول الداخلية الأخرى

2.2.5

يجب إزالة هذه السمة لأنّ معظم موفّري الخدمات السحابية لا يتيحون استخدامها، كما أنّ معظم المطوّرين الذين سيختبرون CASA سيستخدمون المصادقة المستندة إلى كلمة المرور.

2.4.3

المعيار كما هو مكتوب ليس محدّدًا بالقدر الكافي ليكون قابلاً للتنفيذ

2.4.5

تمت إزالة هذا الشرط في الإصدار 5 من ASVS، ولا يمكن لخوارزميات التجزئة الموصى بها في 2.4.1 استيفاء هذا الشرط

2.7.5

لا يمكن إجراء الاختبار لأنّه قد يتطلّب تحليلًا لمقدّمي خدمات المصادقة خارج النطاق التابعين لجهات خارجية، والمخاطر هنا منخفضة لأنّ رمز المصادقة صالح لفترة قصيرة.

2.8.2

لا ينطبق هذا الشرط إلا على حلول المصادقة المتعدّدة العوامل المخصّصة، وهو مشمول أيضًا بالبندَين 6.4.2 و6.4.1.

2.8.5

إزالة المتطلب لأنّه مشمول بالبند 2.7.6، بالإضافة إلى أنّ متطلب التسجيل في ASVS يشمل تسجيل المحاولات الفاشلة.

2.8.6

لا يُعدّ استخدام كلمة المرور لمرة واحدة على مستوى التطبيق حالة استخدام شائعة، بل إنّ هذا الطلب ضروري لواجهات المشرفين. ومع ذلك، فإنّ المتطلب 4.3.1 (التحقّق من أنّ واجهات المشرفين تستخدم مصادقة متعدّدة العوامل مناسبة لمنع الاستخدام غير المصرّح به) يغطي المصادقة المتعدّدة العوامل لواجهات المشرفين وسيتعامل مع هذا الخطر.

2.9.1

يشمل هذا الشرط الأجهزة المادية وفقًا لمعيار ASVS (مفاتيح الأمان المشفرة هي بطاقات ذكية أو مفاتيح FIDO، حيث على المستخدم توصيل أو إقران

جهاز التشفير بالكمبيوتر لإكمال عملية المصادقة. يرسل المدقّقون عددًا عشوائيًا من المرات إلى

أو برامج التشفير، ويحسب الجهاز أو البرنامج ردًا استنادًا إلى

مفتاح تشفير مخزَّن)، ما يجعل هذا الشرط خارج نطاق CASA، لأنّ مخاطر مصادقة الأجهزة المادية مشمولة بالبند 4.3.1 لأغراض المصادقة المتعدّدة العوامل (مادية أو برمجية).

2.9.3

يشمل هذا الشرط الأجهزة المادية وفقًا لمعيار ASVS (مفاتيح الأمان المشفرة هي بطاقات ذكية أو مفاتيح FIDO، حيث على المستخدم توصيل أو إقران

جهاز التشفير بالكمبيوتر لإكمال عملية المصادقة. يرسل المدقّقون عددًا عشوائيًا من المرات إلى

أو برامج التشفير، ويحسب الجهاز أو البرنامج ردًا استنادًا إلى

مفتاح تشفير مخزَّن)، ما يجعل هذا الشرط خارج نطاق CASA، لأنّ مخاطر مصادقة الأجهزة المادية مشمولة بالبند 4.3.1 لأغراض المصادقة المتعدّدة العوامل (مادية أو برمجية).

2.10.1

المتطلب يتعارض مع الفقرة 2.10.2

2.10.3

يتم تناول هذه النقطة في القسم 2.4.1 (تأكَّد من استخدام إحدى وظائف تجزئة كلمات المرور التالية عند تخزين كلمة مرور المستخدم للتطبيق: argon2id أو scrypt أو bcrypt أو PBKDF2)، والذي يغطي خطر الهجمات غير المتصلة بالإنترنت وتخزين كلمات المرور.

2.10.4

يجب التأكّد من عدم عرض مواد المفاتيح للتطبيق، بل استخدام وحدة أمان معزولة، مثل خزينة، لإجراء عمليات التشفير.

3.2.3

مشمولة بالبنود 3.4.1 و3.4.2 و3.4.3

3.5.1

يمكن للمستخدم إبطال الرموز المميزة من خلال موفّر OAuth

4.3.3

يجب أن تكون واجهات المشرفين وإمكانية الوصول المميّز مشمولة بالمصادقة المتعددة العوامل

5.1.3

يتم تغطية هذا الطلب بمتطلبات أخرى للتحقّق من صحة الإدخال، وإذا كان عدم التحقّق لا يؤدي إلى ثغرة أمنية في منطق النشاط التجاري الفعلي، يمكن أن يكون هذا الطلب أقل خطورة. على سبيل المثال، عدم التحقّق من صحة رقم الهاتف بشكل سليم يؤدي إلى عرض رقم الهاتف بشكل غير صحيح في صفحة المعلومات، وهو ما لا يؤدي إلى أي مشاكل أمنية مباشرة.

5.1.4

يتم تغطية هذا الطلب بمتطلبات أخرى للتحقّق من صحة الإدخال، وإذا كان عدم التحقّق لا يؤدي إلى ثغرة أمنية في منطق النشاط التجاري الفعلي، يمكن أن يكون هذا الطلب أقل خطورة. على سبيل المثال، عدم التحقّق من صحة رقم الهاتف بشكل سليم يؤدي إلى عرض رقم الهاتف بشكل غير صحيح في صفحة المعلومات، وهو ما لا يؤدي إلى أي مشاكل أمنية مباشرة.

5.3.2

قد يكون من الصعب اختبار جزء هذا الشرط الذي يحدّد أنّ كل حرف يونيكود صالح. لن يتضمّن كل تطبيق نموذج نص كبيرًا بما يكفي لاستيعاب كل أحرف Unicode. هناك أيضًا نقص في التوافق مع بعض أنظمة التشغيل وأدوات الاختراق في مساحة Unicode بأكملها، ما يجعل من المستحيل اختبار ذلك حتى إذا كان الخادم يتيح ذلك. قيمة الأمان مشكوك فيها بشكل عام. تمت إضافته في الأصل إلى الإصدار التجريبي، ولكن تمت إزالته بسبب مشاكل في الاختبار.

6.2.5

التي تغطيها الفقرتان 6.2.4 و6.2.3

6.2.6

التي تغطيها الفقرتان 6.2.4 و6.2.3

6.3.1

التي تغطيها الفقرتان 6.2.4 و6.2.3

6.3.3

التي تغطيها متطلبات أخرى لإنشاء أرقام عشوائية.

7.1.2

مشمولة بالبند 7.1.1

7.1.3

مشمولة بالبند 7.1.1

7.3.1

مشمولة بالبند 7.1.1

‫7.3.3

مشمولة بالبند 7.1.1

8.1.3

من الصعب تحديد ما إذا كانت المَعلمة مقبولة أو ضرورية. ليست حالة قابلة للاختبار. ما الذي يشكّل ضرورة؟ كيف سنحدّد ما إذا كان الاستثناء صالحًا؟ خارج نطاق CASA

8.3.3

هذا ليس شرطًا قابلاً للاختبار، بل هو شرط ذو صلة بسياسة الخصوصية وبنود الخدمة وليس بأمان التطبيق. هذه المراجعة قانونية وتتعلق بالامتثال، وهي خارج نطاق CASA

8.3.6

يختلف عنصر التحكّم حسب نظام التشغيل (إصدار Windows أو Linux) والجهاز، وفي معظم الحالات لا يكون عنصر تحكّم في التطبيق.

8.3.8

مشمولة بالإصدارات 1.8.1 و1.8.2 و1.1.4

9.2.5

التي تغطيها الفقرة 8.3.5 ومراجعات سياسات تسجيل الدخول الخاصة بالتطبيق.

10.1.1

مشمولة بمراجعة البنية الأساسية، وهي من أفضل الممارسات المقترَحة. المتطلب غير قابل للاختبار

10.2.3

لا يمكن إكمالها خلال فترة زمنية معقولة. يجب توثيق ومراجعة أي رمز غريب، ولكن يتطلّب تحديد المهمة المحدّدة لضمان عدم وجود أبواب خلفية مراجعة تفصيلية للرمز سطرًا بسطر، ولا يضمن ذلك عدم وجود أبواب خلفية.

صعوبة اختبار الوظائف الضارة المصمَّمة بشكل جيد

10.2.4

لا يمكن إجراء الاختبار. لا يمكن إكمالها خلال فترة زمنية معقولة. يجب توثيق ومراجعة أي رمز غريب، ولكن تحديد مهمة معيّنة لضمان عدم وجود ثغرات أمنية يتطلّب مراجعة تفصيلية للرمز سطرًا بسطر، ولا يضمن عدم وجود ثغرات أمنية.

صعوبة اختبار الوظائف الضارة المصمَّمة بشكل جيد

10.2.5

لا يمكن إجراء الاختبار. لا يمكن إكمالها خلال فترة زمنية معقولة. يجب توثيق ومراجعة أي رمز غريب، ولكن تحديد مهمة معيّنة لضمان عدم وجود ثغرات أمنية يتطلّب مراجعة تفصيلية للرمز سطرًا بسطر، ولا يضمن عدم وجود ثغرات أمنية.

صعوبة اختبار الوظائف الضارة المصمَّمة بشكل جيد

13.1.1

يشملها البند 5.2.6 والبند 5.3.9

12.3.1

مخاطر اختراق المسار التي تغطيها المتطلبات الحالية الأخرى من الفصل 5 (التحقّق من الصحة والتطهير والترميز) من معيار ASVS ومعيار CASA

12.3.3

يشملها البند 5.2.6 والبند 5.3.9

12.3.6

مشمولة بالإصدارات 10.3.2 و12.4.1 و12.4.2

12.5.1

مشمولة بالإصدارَين 10.3.2 و12.4.2

12.5.2

مشمولة بالإصدارات 10.3.2 و12.4.1 و12.4.2

13.1.5

يتم تغطية هذا الطلب بمتطلبات أخرى للتحقّق من صحة الإدخال، وإذا كان عدم التحقّق لا يؤدي إلى ثغرة أمنية في منطق النشاط التجاري الفعلي، يمكن أن يكون هذا الطلب أقل خطورة. على سبيل المثال، عدم التحقّق من صحة رقم الهاتف بشكل سليم يؤدي إلى عرض رقم الهاتف بشكل غير صحيح في صفحة المعلومات، وهو ما لا يؤدي إلى أي مشاكل أمنية مباشرة.

13.2.2

يتم تغطية هذا الطلب بمتطلبات أخرى للتحقّق من صحة الإدخال، وإذا كان عدم التحقّق لا يؤدي إلى ثغرة أمنية في منطق النشاط التجاري الفعلي، يمكن أن يكون هذا الطلب أقل خطورة. على سبيل المثال، عدم التحقّق من صحة رقم الهاتف بشكل سليم يؤدي إلى عرض رقم الهاتف بشكل غير صحيح في صفحة المعلومات، وهو ما لا يؤدي إلى أي مشاكل أمنية مباشرة.

13.2.3

البيانات المشمولة بموجب الفقرة 4.2.2

13.2.5

يتم تغطية هذا الطلب بمتطلبات أخرى للتحقّق من صحة الإدخال، وإذا كان عدم التحقّق لا يؤدي إلى ثغرة أمنية في منطق النشاط التجاري الفعلي، يمكن أن يكون هذا الطلب أقل خطورة. على سبيل المثال، عدم التحقّق من صحة رقم الهاتف بشكل سليم يؤدي إلى عرض رقم الهاتف بشكل غير صحيح في صفحة المعلومات، وهو ما لا يؤدي إلى أي مشاكل أمنية مباشرة.

13.3.1

يتم تغطية هذا الطلب بمتطلبات أخرى للتحقّق من صحة الإدخال، وإذا كان عدم التحقّق لا يؤدي إلى ثغرة أمنية في منطق النشاط التجاري الفعلي، يمكن أن يكون هذا الطلب أقل خطورة. على سبيل المثال، عدم التحقّق من صحة رقم الهاتف بشكل سليم يؤدي إلى عرض رقم الهاتف بشكل غير صحيح في صفحة المعلومات، وهو ما لا يؤدي إلى أي مشاكل أمنية مباشرة.

14.4.1

مشمولة بالبند 5.3.1

14.4.2

يتم تغطية هذا الطلب بمتطلبات أخرى للتحقّق من صحة الإدخال، وإذا كان عدم التحقّق لا يؤدي إلى ثغرة أمنية في منطق النشاط التجاري الفعلي، يمكن أن يكون هذا الطلب أقل خطورة. على سبيل المثال، عدم التحقّق من صحة رقم الهاتف بشكل سليم يؤدي إلى عرض رقم الهاتف بشكل غير صحيح في صفحة المعلومات، وهو ما لا يؤدي إلى أي مشاكل أمنية مباشرة.

14.4.3

مشمولة بالإصدارَين 5.2.7 و5.3.3

14.4.5

التي تغطيها الفقرتان 6.2.1 و9.2.1

14.4.7

مشمولة بالفقرة 12.4.1

14.5.3

مشمولة بالبند 14.5.2

2.1.5

مشمولة بالبند 2.1.1

2.1.6

مشمولة بالبند 2.1.1

2.2.3

لا صلة له بـ casa لأنّ المخاطر مشمولة بعناصر تحكّم أخرى لمكافحة التشغيل الآلي

2.5.6

مشمولة في حماية أخرى بكلمة مرور

3.1.1

مستوى منخفض من مخاطر التعرض للثغرات الأمنية ويتم تغطيته من خلال عناصر تحكّم أخرى في معيار ASVS

3.2.1

مستوى منخفض من مخاطر التعرض للثغرات الأمنية ويتم تغطيته من خلال عناصر تحكّم أخرى في معيار ASVS

3.4.4

مستوى منخفض من مخاطر التعرض للثغرات الأمنية ويتم تغطيته من خلال عناصر تحكّم أخرى في معيار ASVS

3.4.5

مستوى منخفض من مخاطر التعرض للثغرات الأمنية ويتم تغطيته من خلال عناصر تحكّم أخرى في معيار ASVS

4.2.1

مشمولة بالفقرة 13.1.4

5.2.8

مشمولة بعمليات التحقّق الأخرى من صحة المدخلات وتنقيحها

5.3.5

مشمولة بعمليات التحقّق الأخرى من صحة المدخلات وتنقيحها

7.4.1

مشمول في عمليات فحص التسجيل

8.2.3

مشمولة بالبند 8.1.1

9.1.1

التي تغطيها الفقرتان 6.2.1 و9.2.1

1.2.3

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.4.4

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.5.2

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.5.3

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.5.4

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.9.1

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.11.3

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.14.1

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.14.2

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.14.3

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.14.4

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.14.5

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

1.14.6

مشمولة بالبنود 1.1.4 و1.8.4 و1.8.2

6.1.2

الخدمات المشمولة بموجب البند 6.1.1

6.1.3

الخدمات المشمولة بموجب البند 6.1.1

2.10.2

الخدمات المشمولة بالبند 2.5.4

2.2.1

المنتجات المشمولة بالإصدار 11.1.4

2.7.3

البيانات المشمولة في القسم 2.7.2

2.7.4

البيانات المشمولة في القسم 2.7.2

5.1.2

مشمول في "عنصر التحكّم في مكافحة الأتمتة"

6.2.2

لم يتم تحديد خوارزميات التشفير المعتمَدة

8.2.1

مشمول في الإصدار 8.1.1

9.1.2

مشمولة بالبند 9.2.1

9.1.3

مشمولة بالبند 9.2.1

5.5.1

البرنامج مشمول بالإصدار 1.8.2

14.2.1

الإصدار 1.14.6

3.3.4

لا ينطبق ذلك على التطبيقات التي تستخدم مصادقة/ترخيص بدون حالة. الموافقة على اقتراح NCC Group بإزالة هذه الإضافة يجب أن يكون هذا مشمولاً بالبند 3.3.3

req_id

الوصف

1.1.4

التحقّق من صحة المستندات ومبررات جميع حدود الثقة والمكوّنات وعمليات نقل البيانات المهمة في التطبيق

1.8.1

التأكّد من تحديد جميع البيانات الحسّاسة وتصنيفها ضمن مستويات الحماية

1.8.2

تأكَّد من أنّ جميع مستويات الحماية تتضمّن مجموعة مرتبطة من متطلبات الحماية، مثل متطلبات التشفير ومتطلبات السلامة والاحتفاظ بالبيانات والخصوصية وغيرها من متطلبات السرية، وأنّ هذه المتطلبات

المطبَّقة في البنية.

2.1.1

تأكَّد من أنّ كلمات المرور التي يضبطها المستخدمون تتألف من 12 حرفًا على الأقل.

2.5.4

تأكَّد من عدم توفّر حسابات مشتركة أو تلقائية (مثل "root").

"admin" أو "sa").

4.2.1

تأكَّد من حماية البيانات الحساسة وواجهات برمجة التطبيقات من هجمات IDOR التي تستهدف إنشاء السجلات وقراءتها وتعديلها وحذفها، مثل إنشاء سجلّ شخص آخر أو تعديله أو الاطّلاع على سجلات الجميع أو حذف جميع السجلات.

1.14.6

التأكّد من أنّ التطبيق لا يستخدم ميزات غير متوافقة أو غير آمنة أو قديمة

تقنيات من جهة العميل، مثل مكوّنات NSAPI الإضافية وFlash وShockwave وActiveX

‫Silverlight أو NACL أو تطبيقات Java الصغيرة من جهة العميل