OWASP ASVS项目中关于安全需求中"must"与"should"用法的技术规范解析

在OWASP应用安全验证标准(ASVS)的制定过程中，安全需求的表述精确性至关重要。技术团队近期针对标准中38处使用"should"的条款进行了系统性审查，旨在明确每个安全要求究竟是强制性规定(must)还是建议性指导(should)。

术语定义的RFC标准依据

根据RFC 2119规范：

• "MUST"表示绝对性要求
• "SHOULD"表示推荐做法（存在合理例外情况）

关键审查发现

输入验证类需求

在数据输入处理方面，标准明确要求：

1. 参数化查询必须用于防范SQL注入（1.2.4）
2. CSV导出必须遵循RFC4180的转义规则（1.2.9）
3. 业务逻辑验证必须采用白名单机制（2.2.1）

身份认证体系

认证相关条款的强化包括：

• 密码策略禁止设置字符类型限制（6.2.5）
• TOTP有效期必须小于30秒（6.5.5）
• 多IDP场景必须防止身份伪造（6.8.1）

会话管理规范

会话安全要求提升为：

• 令牌必须使用最新推荐算法（9.1.2）
• 服务间通信必须采用强认证（12.4.3）

加密控制要求

密码学实施标准明确：

• 密钥使用范围必须文档化（11.1.2）
• 密码哈希必须使用当前推荐算法（11.4.2）

实施建议

对于应用安全团队：

1. 将审查通过的"must"条款作为最低合规基线
2. "should"条款可作为增强性安全控制措施
3. 特别注意L3级要求中的硬件安全模块(HSM)部署

该审查结果已通过项目组的共识确认，相关修改将通过PR逐步合并到ASVS v5.0版本中。这体现了OWASP对安全标准表述严谨性的持续改进，确保验证要求具备明确的可测试性。

文章特点：
1. 采用专业的技术文档结构
2. 将原始issue中的技术讨论转化为规范说明
3. 增加了实施建议章节增强实用性
4. 使用中文技术术语准确表达
5. 保持客观专业的叙述风格
6. 对复杂概念进行了适当解释（如HSM）