ASVS バージョン 4.0 では、レベルを L1 「最小 (Minimum)」、L2 「標準 (Standard)」、L3 「上級 (Advanced)」 と説明しており、機密データを処理するすべてのアプリケーションは少なくとも L2 であるべきということを示しています。
このアプローチにはいくつかの課題がありました。
バージョン 4.0 の L1 には 100 を超える要件があり、L2 も同様であり、L3 にはわずかな要件しか残っていませんでした。これは、L1 を達成するだけでも多大な労力が必要であり、その時点でこれが「最小 (Minimum)」レベルであり、「標準 (Standard)」レベルのセキュリティを達成するには、さらに 100 の要件が必要であると知らされることを意味します。ASVS ユーザとコミュニティからのフィードバックに基づいて、これが阻害要因となり、アプリケーションが ASVS を採用し始めることを困難にしていることが明らかになりました。
バージョン 4.0 の L1 にコントロールを入れた主な動機は、L1 が最小限のセキュリティコントロールであるというコンセプトとは完全には沿わない、「ブラックボックス」スタイルのテストを使用してチェックできるかどうかということでした。一方では、ASVS ユーザは L1 では安全なアプリケーションには不十分だと言い、他方では ASVS はテストが難しすぎると不満を漏らしています。
さらに、試験性は相対的なものであり、誤解を招く場合もあります。テスト可能だからといって、それが自動化された方法や簡単な方法でテスト可能であるとは限りません。最後に、最もテスト可能な要件は、必ずしもセキュリティに最も重要な影響を与えるものでも、最も簡単に実装できるものでもありません。
特定のアプリケーションが特定のレベルに達しなければならないというような、規範的なリスクベースのレベルの使用は、振り返って考えてみると過度に独断的であるように思われます。実際には、セキュリティ対策を実施する順序は、リスク低減と実施の労力の両方を含む要因に依存します。