1.3 在实践中应用ASVS

不同的威胁有不同的动机。一些行业具有独特的信息和技术资产，以及具体领域的法规要求。

下面提供关于ASVS级别的特定行业的指导。尽管对于每个行业存在一些独特的条件和不同的威胁，在所有行业领域一个共同的主题是投机取巧的攻击者。这样的攻击者会寻找应用程序中任何容易的脆弱点进行利用，这就是为什么“OWASP ASVS”建议所有应用程序至少达到ASVS 1级，而不论它们处在什么行业。这是一个建议的起点，用来管理最容易发现的风险。强烈建议组织基于其业务的性质更深入地研究其独特的风险特征。而另一个极端是ASVS 3级，它是为那些可能危及人身安全的案件保留的，或者当一个应用程序被破坏会完全地严重影响组织时，用高级验证标准。如表1-1所示为在不同行业中实践ASVS。

表1-1 在不同行业中实践ASⅤS

续表