En premier, il faut savoir que Le Top 10 est un document de sensibilisation qui explique les principaux risques applicatifs, c'est parfait pour l'éducation, l'auto-évaluation rapide et les « quick wins ».
De l'autre côté, L'ASVS est un cadre de travail exhaustif d'exigences, pour bâtir, tester et valider des applications de façon systématique.
Ce qu'est le OWASP Top 10
Le OWASP Top 10 est une liste des dix vulnérabilités de sécurité web les plus courantes, destiné à sensibiliser les développeurs et les organisations aux risques les plus prioritaires.
Voici les 10 plus grands risques pour la version 2021 :
- A01 — Contrôles d'accès défaillants
- A02 — Cryptographie et protection des données inadéquates
- A03 — Injection
- A04 — Conception non sécurisée
- A05 — Vulnérabilités de sécurité liées aux composants
- A06 — Mauvaises configurations de sécurité
- A07 — Identification et authentification faibles
- A08 — Gestion des erreurs et journalisations insuffisantes
- A09 — Contrôle d'intégrité des données
- A10 — Sécurité côté client
Ce qu'est l'OWASP ASVS
L'Application Security Verification Standard (ASVS) fournit une liste détaillée d'exigences techniques pour concevoir, développer et vérifier la sécurité des applications et services web.
La version stable actuelle est ASVS 5.0.0. Chaque exigence est identifiable et formulée de façon vérifiable.
Quand utiliser l'un ou l'autre
Le Top 10 c'est pour démarrer ou débuter dans la construction d'une culture sécurité en formant les équipes de développeurs et obtenir des victoires rapides à court terme.
Si on veut construire plus sérieusement et surtout valider notre travail de manière méthodique, il faut intégrer l'ASVS au SDLC.