OWASP ASVS 5.0 中访问控制决策日志规范的优化建议

在OWASP应用安全验证标准(ASVS)5.0版本的V7错误日志章节中，关于访问控制决策日志记录的规范7.2.2条引起了安全专家的讨论。这条规范要求验证所有访问控制决策(包括失败尝试)是否被记录。

多位安全专家经过讨论认为，这条规范应该根据应用安全等级要求进行更细致的划分。具体建议是将该要求拆分为两个不同安全级别的要求：

1. L2级别(标准安全要求)：仅要求记录失败的访问控制决策。这个级别适用于大多数需要基本安全防护的应用场景，重点关注潜在的安全威胁和攻击尝试。

2. L3级别(高级安全要求)：要求记录所有访问控制决策，包括成功和失败的尝试。这个级别适用于对安全性要求极高的关键系统，需要完整的审计追踪能力。

这种分级建议基于以下几个技术考量：

首先，从实际应用场景来看，记录所有访问控制决策会产生大量日志数据，可能对系统性能和存储带来显著压力。对于许多业务系统而言，仅记录失败尝试已经能够满足基本的安全监控需求。

其次，从安全审计的角度，L3级别要求的完整日志记录能够提供更全面的安全分析依据，特别适合金融、医疗等对合规性要求严格的行业。而L2级别则提供了更实用的平衡方案。

最后，这种分级方式也符合OWASP ASVS一贯的分层安全理念，使不同安全需求的组织能够选择适合自身风险承受能力的实施方案。

这项优化建议已被项目组采纳并实施，体现了OWASP社区对安全标准持续改进的承诺，也展示了安全规范应随着技术实践不断演进的专业态度。