В моей компании мы используем AppScan Enterprise (или Standard) для динамического анализа, чтобы проверить тип уязвимостей на сайтах под нашим наблюдением, но только этого недостаточно.
Теперь нашим программистам нужно использовать контрольный список OWASP (ASVS 3.0) и заполнить контрольный список. Этот процесс находится в "альфа-режиме", и мы все еще изучаем его.
Что я заметил, так это то, что Mobile Checklist действительно хорошо настроен с некоторыми листами и процедурой тестирования, но в Web Checklist такой процедуры тестирования нет.
Мы используем это руководство: https://media.readthedocs.org/pdf/owasp-aasvs/latest/owasp-aasvs.pdf, но мы считаем, что этого недостаточно для заполнения всех категорий.
Может ли кто-нибудь порекомендовать видео с подробным объяснением или руководства в формате pdf для дополнения информации, которая у нас уже есть?
Заранее спасибо.
С наилучшими пожеланиями.