OWASP ASVS中隐私相关要求的重新评估与调整

背景概述

OWASP应用安全验证标准(ASVS)项目近期对V8.3章节中涉及隐私保护的要求进行了深入讨论。这些要求原本包含了一些与监管合规相关的内容，但团队认为需要重新评估它们是否符合ASVS专注于安全性的核心定位。

关键讨论要点

开发团队经过多轮讨论后，对以下要求做出了调整决策：

1. 数据删除功能要求(8.3.2)
   原要求验证用户能否按需删除数据，现认为这属于政策合规范畴而非核心安全需求，已从标准中移除。

2. 数据收集告知与同意(8.3.3)
   关于应用需提供数据收集使用说明并获得用户同意的要求，团队认为这属于隐私政策层面，现有1.8.1和1.8.2已覆盖相关安全考量。

3. 数据保留分类(8.3.8)
   对敏感个人信息的自动删除机制要求被保留为L3级别，认为这是合理的实施要求。

4. 数据导出功能(8.3.9)
   用户数据导出功能要求被判定为纯政策性质，已移除。

5. 文件元数据处理(8.3.10)
   要求从用户提交文件中移除敏感元数据的要求被保留，这是实际的安全实施要求，可能调整为L2或L3级别。

6. 权限请求限制(8.3.11)
   关于应用不应请求不必要权限的要求存在争议，部分成员认为这属于用户选择范畴，最终决定将其移至其他章节讨论。

技术决策依据

团队做出这些调整的核心考虑是区分真正的安全需求与合规性要求。ASVS应聚焦于那些"没有就会导致应用不安全"的核心安全要求，而非广义的合规性规定。

对于元数据处理等保留的要求，团队认为这些涉及实际的技术实施风险，如元数据可能泄露敏感信息，属于真正的安全考量。

对开发实践的启示

这一调整体现了安全标准制定的重要原则：

• 明确区分安全需求与合规需求
• 聚焦可验证的技术实现而非政策声明
• 保持标准的实用性和针对性

开发者在参考ASVS时应注意，虽然某些隐私合规要求被移除，但在实际项目中仍可能需要考虑这些方面以满足法规要求，只是它们不再作为安全验证的强制标准。

总结

OWASP ASVS通过这次调整进一步明确了其作为纯粹安全验证标准的定位，将重点放在可验证的技术安全要求上，而非广义的合规性规定。这有助于开发者更清晰地理解哪些是必须实现的安全控制，哪些是可能因应法规要求的额外考虑。