OWASP 备忘单系列(Cheat Sheet Series)

目标

OWASP备忘单系列旨在为应用程序开发人员和防御者提供一套简单的良好实践指南。与其关注对许多开发人员和应用程序来说不切实际的详细最佳实践，不如提供大多数开发人员实际上能够实现的良好实践。

介绍

OWASP备忘单系列(Cheat Sheet Series)的创建是为了提供关于特定应用程序安全主题的高价值信息的简明集合。这些备忘单是由具有特定主题专业知识的各种应用程序安全专业人员创建的。

我们希望这个项目能以一种易于阅读的格式为您提供出色的安全指导（cheatsheetseries.owasp.org）。

OWASP Proactive Controls、OWASP ASVS和OWASP CSS项目之间的桥梁

在OWASP Proactive Controls主动控制(OPC)、OWASP应用安全验证标准(ASVS = Application Security Verification Standard)和OWASP Cheat Sheet Series(OCSS)之间创建了一个工作通道，流程如下:

当OPC/ASVS中的一个点缺少备忘单(Cheat Sheet)时，OCSS将处理缺失并创建一个备忘单。当备忘单(Cheat Sheet)准备好后，OPC/ASVS将添加参考。
如果存在OPC/ASVS点的备忘单，但其内容不能提供预期的协助，则更新备忘单以提供所需的内容。

创建此桥的缘由是通过提供以下内容来协助OCSS和ASVS项目:

• 一致来源为请求新的备忘单(Cheat Sheets)。
• 共享方法来更新现有备忘单(Cheat Sheets)。
• 备忘单的使用上下文以及关于备忘单质量和效率的快速反馈来源。

对于新的备忘单(或更新)的请求仅来自OPC/ASVS并不是强制性的，它只是一个额外的通道。

来自OPC/ASVS的请求在GitHub存储库问题列表中被标记为一个特殊的标签，以便识别它们并将它们设置为最高优先级。

OWASP Proactive Controls

OWASP Proactive Controls主动控制描述了最重大的控制和控制类别，每个架构师和开发人员都应该在每个项目中绝对100%地包含这些控制和控制类别。

2018年OWASP十大主动控制是每个软件开发项目中应该包含的安全技术列表。它们按重大性排序，控制1是最重大的。本文档是由开发人员为开发人员编写的，以协助那些新手进行安全开发。

• C1:定义安全需求
• C2:利用安全框架和库
• C3:安全数据库访问
• C4:编码和转义数据
• C5:验证所有输入
• C6:实施数字身份
• C7:强制访问控制
• C8:处处保护数据
• C9:实现安全日志和监控
• C10: 处理所有错误和异常