-
-
Notifications
You must be signed in to change notification settings - Fork 668
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Add Italian translation from @ricsirigu (#1973)
* Starting Italian translation * 0x10 architecture italian * Authentication ita * Session management ita * Access control ita * validation and sanitization ita * cryptography in italian * error loggin italian * data protection ita * communications ita * malicious ita * buslogic ita * files and resources ita * api italian * config italian * glossary * appendix b * appendix c italian * typo * permission-test * it translation syntax correction * v12 files and resources italian missing sections * -tab * Apply suggestions from code review Co-authored-by: Matteo Pace <pace.matteo96@gmail.com> * Create docs folder for italian output * Add it to output languages * Update 4.0/it/0x10-V1-Architecture.md Co-authored-by: Matteo Pace <pace.matteo96@gmail.com> * Update 4.0/it/0x10-V1-Architecture.md Co-authored-by: Matteo Pace <pace.matteo96@gmail.com> * Update 4.0/it/0x11-V2-Authentication.md Co-authored-by: Matteo Pace <pace.matteo96@gmail.com> * Update 4.0/it/0x11-V2-Authentication.md Co-authored-by: Matteo Pace <pace.matteo96@gmail.com> * V9 missing references translation * Update 4.0/it/0x11-V2-Authentication.md Co-authored-by: Matteo Pace <pace.matteo96@gmail.com> * Review to make it more fluent * Review using ASVS * 0x04 review * 0x10 review * 0x11 review * 0x12 review * 0x12 review * 0x13 review * 0x14 review * 0x15 review * 0x16 review * 0x17 review * 0x18 review * 0x19 review * 0x20 review * 0x21 review * 0x22 review * Typos * Fix typos * Add Italian documents and references --------- Co-authored-by: Elar Lang <47597707+elarlang@users.noreply.github.com> Co-authored-by: Elar Lang <elar@hoh.ee> Co-authored-by: Matteo Pace <pace.matteo96@gmail.com> Co-authored-by: Josh Grossman <tghosth@users.noreply.github.com>
- Loading branch information
1 parent
308d332
commit bc7f850
Showing
32 changed files
with
12,307 additions
and
1 deletion.
There are no files selected for viewing
Binary file not shown.
288 changes: 288 additions & 0 deletions
288
4.0/docs_it/OWASP Application Security Verification Standard 4.0.3-it.csv
Large diffs are not rendered by default.
Oops, something went wrong.
Binary file added
BIN
+537 KB
4.0/docs_it/OWASP Application Security Verification Standard 4.0.3-it.docx
Binary file not shown.
3,722 changes: 3,722 additions & 0 deletions
3,722
4.0/docs_it/OWASP Application Security Verification Standard 4.0.3-it.flat.json
Large diffs are not rendered by default.
Oops, something went wrong.
6,734 changes: 6,734 additions & 0 deletions
6,734
4.0/docs_it/OWASP Application Security Verification Standard 4.0.3-it.json
Large diffs are not rendered by default.
Oops, something went wrong.
1 change: 1 addition & 0 deletions
1
4.0/docs_it/OWASP Application Security Verification Standard 4.0.3-it.xml
Large diffs are not rendered by default.
Oops, something went wrong.
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1 @@ | ||
|
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -1,6 +1,6 @@ | ||
#!/bin/bash | ||
|
||
ALLOWED_LANGS='ar de en es fr pt ru zh-cn' | ||
ALLOWED_LANGS='ar de en es fr pt ru zh-cn it' | ||
|
||
echo $@ | ||
|
||
|
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,9 @@ | ||
# | ||
|
||
![OWASP LOGO](../images/owasp_logo_1c_notext.png) | ||
|
||
# Application Security Verification Standard 4.0.3 | ||
|
||
## Final | ||
|
||
Ottobre 2021 |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,51 @@ | ||
# Frontespizio | ||
|
||
## Riguardo allo standard | ||
|
||
La Application Security Verification Standard è una lista di requisiti o test per la sicurezza delle applicazioni che può essere utilizzata da architetti del software, sviluppatori, tester, security professionals, tool vendors, e utenti per definire, realizzare, testare e verificare la sicurezza delle applicazioni. | ||
|
||
## Copyright e Licenza | ||
|
||
Version 4.0.3, October 2021 | ||
|
||
![license](../images/license.png) | ||
|
||
Copyright © 2008-2021 The OWASP Foundation. Questo documento è rilasciato sotto la [Creative Commons Attribution ShareAlike 3.0 license](https://creativecommons.org/licenses/by-sa/3.0/). Per qualsiasi riutilizzo o distribuzione, devi chiarire agli altri i termini di licenza di questa opera. | ||
|
||
## Leader del progetto | ||
|
||
| | | | | ||
|---------------------- |----------------- |------------ | | ||
| Andrew van der Stock | Daniel Cuthbert | Jim Manico | | ||
| Josh C Grossman | Elar Lang | | | ||
|
||
## Principali Contributori | ||
|
||
| | | | | ||
|---------------- |---------------- |------------------- | | ||
| Abhay Bhargav | Benedikt Bauer | Osama Elnaggar | | ||
| Ralph Andalis | Ron Perris | Sjoerd Langkemper | | ||
| Tonimir Kisasondi | | | | ||
|
||
## Altri Contributori e Revisori | ||
|
||
| | | | | | | ||
| ------------------- | ------------------ | ----------------- | ---------------- | ----------------- | | ||
| Aaron Guzman | Alina Vasiljeva | Andreas Kurtz | Anthony Weems | Barbara Schachner | | ||
| Christian Heinrich | Christopher Loessl | Clément Notin | Dan Cornell | Daniël Geerts | | ||
| David Clarke | David Johansson | David Quisenberry | Elie Saad | Erlend Oftedal | | ||
| Fatih Ersinadim | Filip van Laenen | Geoff Baskwill | Glenn ten Cate | Grant Ongers | | ||
| hello7s | Isaac Lewis | Jacob Salassi | James Sulinski | Jason Axley | | ||
| Jason Morrow | Javier Dominguez | Jet Anderson | jeurgen | Jim Newman | | ||
| Jonathan Schnittger | Joseph Kerby | Kelby Ludwig | Lars Haulin | Lewis Ardern | | ||
| Liam Smit | lyz-code | Marc Aubry | Marco Schnüriger | Mark Burnett | | ||
| Philippe De Ryck | Ravi Balla | Rick Mitchell | Riotaro Okada | Robin Wood | | ||
| Rogan Dawes | Ryan Goltry | Sajjad Pourali | Serg Belkommen | Siim Puustusmaa | | ||
| Ståle Pettersen | Stuart Gunter | Tal Argoni | Tim Hemel | Tomasz Wrobel | | ||
| Vincent De Schutter | Mike Jang | Riccardo Sirigu | | | | ||
|
||
|
||
|
||
Se non vi ritrovate nella lista dei contributori relativa alla versione 4.0.3 qui sopra, si prega di aprire un ticket su GitHub per essere riconosciuti negli aggiornamenti futuri. | ||
|
||
La Application Security Verification Standard si basa sul lavoro svolto da coloro che hanno partecipato dalla verisone ASVS 1.0 del 2008 fino alla versione 3.0 del 2016. Gran parte della struttura e degli elementi di verifica che sono ancora presenti nell'ASVS attuale, sono stati originariamente scritti da Mike Boberski, Jeff Williams e Dave Wichers, ma ci sono molti altri contributori. Grazie a tutti coloro che hanno partecipato in precedenza. Per un elenco completo di tutti coloro che hanno contribuito alle versioni precedenti, si prega di consultare ciascuna versione precedente. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,31 @@ | ||
# Prefazione | ||
|
||
Benvenuti alla versione 4.0 dello Standard di Verifica della Sicurezza delle Applicazioni (ASVS). L'ASVS è un'iniziativa guidata dalla comunità che mira a definire un framework di requisiti e controlli di sicurezza, concentrandosi sulle misure funzionali e non funzionali necessarie per la progettazione, lo sviluppo e il test di moderne applicazioni e servizi web. | ||
|
||
La versione 4.0.3 rappresenta la terza revisione minore della versione 4.0, volta a correggere errori ortografici e a chiarire i requisiti, senza apportare modifiche sostanziali, come l'aggiornamento dei requisiti o l'introduzione di nuovi. Tuttavia, abbiamo leggermente allentato alcuni requisiti dove appropriato e rimosso quelli ormai superflui, mantenendo invariata la numerazione. | ||
|
||
L'ASVS 4.0 è il risultato di un impegno collaborativo e dei feedback raccolti dal settore negli ultimi dieci anni. Abbiamo cercato di semplificarne l'adozione per una vasta gamma di casi d'uso, coprendo l'intero ciclo di vita dello sviluppo di software sicuro. | ||
|
||
Siamo consapevoli che probabilmente non ci sarà mai un consenso unanime sul contenuto di uno standard per applicazioni web, inclusa l'ASVS. L'analisi del rischio è intrinsecamente soggettiva, il che rende complessa la creazione di uno standard universale. Tuttavia, speriamo che gli aggiornamenti introdotti in questa versione rappresentino un passo avanti nella direzione giusta, rafforzando i concetti chiave di questo importante standard industriale. | ||
|
||
## Cosa c'è di nuovo nella versione 4.0 | ||
|
||
Il cambiamento più rilevante in questa versione è l'adozione delle Linee Guida per l'Identità Digitale del NIST 800-63-3, che introduce controlli di autenticazione moderni, avanzati e basati su evidenze. Pur consapevoli che ci possa essere una certa resistenza nell'adeguarsi a uno standard di autenticazione così avanzato, riteniamo fondamentale che gli standard siano allineati, specialmente quando si basano su evidenze e sono supportati da un altro autorevole standard di sicurezza delle applicazioni. | ||
|
||
Gli standard di sicurezza delle informazioni dovrebbero puntare a ridurre il numero di requisiti unici, per evitare che le organizzazioni, nel percorso verso la conformità, debbano scegliere tra controlli concorrenti o incompatibili. La OWASP Top 10 del 2017 e ora lo Standard di Verifica della Sicurezza delle Applicazioni OWASP sono allineati al NIST 800-63 per quanto riguarda l'autenticazione e la gestione delle sessioni. Invitiamo altri enti normativi a collaborare con noi, con il NIST e con altri, al fine di sviluppare un insieme di controlli di sicurezza delle applicazioni ampiamente accettato, che massimizzi la sicurezza e riduca al minimo i costi di conformità. | ||
|
||
L'ASVS 4.0 è stato completamente rinumerato dall'inizio alla fine. Questo nuovo schema di numerazione ci ha consentito di colmare i vuoti lasciati da capitoli ormai scomparsi e di suddividere i capitoli più estesi, facilitando l'implementazione dei controlli per sviluppatori e team. Ad esempio, se un'applicazione non utilizza JWT, l'intera sezione relativa alla gestione delle sessioni tramite JWT non sarà applicabile. | ||
|
||
Una delle principali novità della versione 4.0 è l'introduzione di una mappatura completa con le Common Weakness Enumeration (CWE), una delle funzionalità più richieste nell'ultimo decennio. Questa mappatura permette a produttori di strumenti e utilizzatori di software di gestione delle vulnerabilità di correlare i risultati di altri strumenti e versioni precedenti del ASVS con la versione 4.0 e successive. Per fare spazio alla mappatura CWE, abbiamo eliminato la colonna "Since", che, a seguito della rinumerazione totale, aveva perso rilevanza rispetto alle versioni precedenti del ASVS. Non tutti i controlli del ASVS hanno una CWE associata e, poiché i CWE presentano spesso duplicazioni, abbiamo scelto di utilizzare le corrispondenze più comuni, piuttosto che quelle strettamente più precise. Tuttavia, non sempre è possibile trovare una corrispondenza tra i controlli di verifica e le debolezze. Continuiamo a incoraggiare il dibattito con la comunità CWE e, più in generale, con il settore della sicurezza delle informazioni per affrontare questa sfida. | ||
|
||
Abbiamo lavorato per soddisfare e superare in modo completo i requisiti necessari ad affrontare la OWASP Top 10 del 2017 e i Controlli Proattivi OWASP del 2018. Poiché la OWASP Top 10 del 2017 rappresenta il livello minimo per evitare negligenze in ambito sicurezza, abbiamo classificato come controlli di Livello 1 tutti i requisiti della Top 10, ad eccezione di quelli specifici al logging. Questo approccio facilita l'adozione di un vero standard di sicurezza per coloro che già utilizzano la OWASP Top 10. | ||
|
||
Ci siamo inoltre impegnati a rendere l'ASVS 4.0 Livello 1 un insieme di controlli completo e più avanzato rispetto alla Sezione 6.5 dello standard PCI DSS 3.2.1, che copre aspetti come progettazione, sviluppo, test, revisioni sicure del codice e penetration test per le applicazioni. Per raggiungere questo obiettivo, abbiamo esteso i controlli di Livello 1 includendo la rilevazione di buffer overflow, operazioni di memoria non sicure (V5) e flag di compilazione associati a operazioni rischiose sulla memoria (V14), oltre ai già consolidati requisiti per la verifica di applicazioni e servizi web. | ||
|
||
Abbiamo completato la transizione del ASVS da controlli monolitici per soli server ad un sistema che fornisce sicurezza per tutte le applicazioni e le API moderne. Nell'era della programmazione funzionale, delle API serverless, del mobile, del cloud, dei container, dell'integrazione continua e consegna continua (CI/CD), del DevSecOps, della federazione e di molte altre tecnologie, non possiamo più trascurare le architetture applicative moderne. Le applicazioni moderne sono progettate in modo molto diverso da quelle in voga al lancio del ASVS originale nel 2009. L'ASVS deve sempre guardare al futuro per offrire raccomandazioni solide al suo pubblico principale: gli sviluppatori. Per questo motivo, abbiamo chiarito o eliminato tutti i requisiti che presuppongono che le applicazioni vengano eseguite su sistemi di proprietà di una singola organizzazione. | ||
|
||
A causa della complessità del ASVS 4.0 e del nostro obiettivo di renderlo lo standard di riferimento per tutti gli altri progetti correlati, abbiamo deciso di ritirare il capitolo dedicato al mobile, a favore del Mobile Application Security Verification Standard (MASVS). L'appendice relativa all'Internet of Things (IoT) verrà inclusa in un futuro standard ASVS specifico per l'IoT, curato dall'OWASP Internet of Things Project. Nell'Appendice C, abbiamo inserito un'anteprima iniziale del ASVS per l'IoT. Ringraziamo l'OWASP Mobile Team e l'OWASP IoT Project Team per il loro supporto all'ASVS e siamo entusiasti di collaborare con loro in futuro per offrire standard complementari. | ||
|
||
Infine, abbiamo rimosso i controlli duplicati e quelli a basso impatto. Con il tempo, l'ASVS è diventato un insieme completo di controlli, ma non tutti hanno lo stesso valore nel garantire la sicurezza del software. Questo lavoro di eliminazione dei controlli a basso impatto potrebbe proseguire in futuro. Nella prossima edizione del ASVS, il Common Weakness Scoring System (CWSS) sarà utilizzato per aiutare a prioritizzare ulteriormente i controlli davvero rilevanti, distinguendoli da quelli da eliminare. | ||
|
||
A partire dalla versione 4.0, l'ASVS si focalizzerà esclusivamente sul diventare lo standard di riferimento per le applicazioni e i servizi web, includendo sia architetture applicative tradizionali che moderne. Coprirà inoltre le pratiche di sicurezza agili e integrerà la cultura DevSecOps, garantendo un approccio completo e aggiornato alla sicurezza. |
Oops, something went wrong.