Desktop Application Security Verification Standard - DASVS

好奇大家使用什么框架进行桌面应用程序测试。我运营一家为大型企业进行厚客户端渗透测试的公司，我们找不到任何关于这方面的全面指南。

最终，我们在过去5年里构建了DASVS——本质上是ASVS，但专为桌面应用设计。它涵盖了桌面应用特有的内容，如本地数据存储、IPC（进程间通信）安全、更新机制和内存处理等，这些都是Web测试框架所遗漏的。我们内部一直用它进行厚客户端测试，但单一视角的洞察毕竟有限。之所以将其开源，是因为它可能对我们之外的群体也有用。

目标是让DASVS达到ASVS的水平：由社区驱动、全面且真正被使用。

对于从事桌面应用测试的各位，这个标准有哪些问题或缺漏？你们认为哪些空白需要被填补？在我们的计划中，有针对不同操作系统的测试指南，以及一个受MobSF启发的自动化评估工具。你们目前用什么进行桌面应用测试？什么样的框架才会真正有用？

后续讨论摘录：

用户提问1： 这个标准到底有多详细？我们谈论的是宽泛的类别，还是有具体测试用例和预期发现？ ASVS之所以有效，是因为它足够具体，可以实际使用。

回复： 相当详细。每个要求都有ID、描述、验证方法和像ASVS一样的L1/L2/L3等级。不是模糊的高层描述。而是像“验证应用是否加密本地数据库文件”或“验证使用后凭据是否从内存中清除”这样的具体要求。 但在验证指导方面仍需努力。这就是我们计划为每个操作系统制定测试指南的原因——同样的要求，在Windows和macOS上的实现方式看起来会有所不同。

用户提问2： 对你们如何处理操作系统特定测试的差异感兴趣。Windows厚客户端、macOS和Linux是完全不同的领域。DASVS覆盖所有三者，还是只关注一个？

回复： DASVS侧重于跨平台，尽管应将其视为一个可继续完善的基础。提到的深度将在针对特定操作系统的测试指南中更明显。

用户提问3： 我想如果你们愿意合作，我可以提供帮助。我拥有这个项目，听起来我们发现了同样的空白，并且目标相似 :) https://github.com/OWASP/www-project-thick-client-application-security-verification-standard