序1 关于标准 本书是根据《OWASP 应用程序安全验证标准》翻译编写的。《OWASP 应用程序安全验证标准》是架构师、开发人员、测试人员、安全专业人员及用户可以使用的应用程序安全性要求或测试的列表，以定义安全的应用程序。 版权和许可证 版权所有©2008—2016 OWASP 基金会。本文档依照《知识共享署名授权许可协议 3.0》发布。对于任何重用或分发，必须向他人明确这项工作的许可条款。 发布历史 第3.0.1版《OWASP应用程序安全验证标准》发布于2016年，该项目由Daniel Cuthbert和Andrew van der Stock领导。 · 2014年8月，第2.0版《OWASP应用程序安全验证标准》发布。 · 2015年9月，第3.0版《OWASP应用程序安全验证标准》发布。 · 2016年6月，第3.0.1版《OWASP应用程序安全验证标准》发布。 2015年第3.0版的贡献者 图片 2014年第2.0版的贡献者 图片 2009年第1.0版的贡献者 图片 图片: 续表 序2 欢迎使用《OWASP应用程序安全验证标准（ASVS）》第3.0.1版。ASVS是通过OWASP团队努力建立而成的安全要求和控制框架，其侧重于在应用程序设计、开发和测试时所需的功能和非功能安全控制。 本版本被认为是识别和采用的最佳实践经验。这将有助于新兴标准计划采用ASVS中的内容，同时协助现有的企业学习他人的经验。 OWASP ASVS项目组预计这个标准可能永远不会达到100%的完善并被认同。风险分析在某种程度上是主观的，这在尝试以适合所有标准的尺度进行泛化时，会产生挑战。但是，OWASP ASVS项目组希望本版本的最新更新是朝着正确的方向迈出的一步，并期望能为行业引入这一重要的概念。 第3.0.1版有什么新功能 （1）在第3.0.1版本中，ASVS增加了几个部分，包括配置、…