Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомПрактическое руководство по OWASP MASVS v2.0
Главная » Календарь редакций » Безопасность API » Практическое руководство по OWASP MASVS v2.0 – его эволюция и реализация
OWASP (Open Worldwide Application Security Project) MASVS (Стандарт проверки безопасности мобильных приложений) — это ценный ресурс для разработчиков мобильных приложений, стремящихся улучшить уровень безопасности своих приложений iOS и Android. Стандарт основан на коллективных знаниях экспертов по безопасности со всего мира и обеспечивает как базовый уровень, так и эталон требований безопасности для мобильных приложений.
Есть 3 ключевых документа, которые можно скачать с сайта OWASP:
Команда ясно дает понять, что документы MASVS можно обновлять в любое время, и был проведен серьезный рефакторинг рекомендаций, кульминацией которого стала версия MASVS V2.0.0, выпущенная весной 2023 года.
MASVS продолжает развиваться с тех пор, как OWASP впервые осознал уникальные проблемы безопасности мобильных приложений и опубликовал первый рейтинг OWASP Mobile Top 10 в 2010 году. Он стал гораздо более полным по своему охвату и в то же время был упрощен, а элементы управления частично дублировались. удаленный. Некоторый контент, посвященный тестированию, был перенесен в MASTG в качестве тестовых примеров.
В предыдущей версии MASVS были определены три уровня: L1, L2 и R. L1 был задуман как базовый уровень, а L2 определял требования к глубокоэшелонированной защите для «приложений, обрабатывающих конфиденциальные данные». Уровень R давал подробные рекомендации по защите от угроз на стороне клиента.
В рамках рефакторинга MASVS эти уровни были исключены из MASVS, чтобы создать более абстрактный набор элементов управления безопасностью. Однако уровни снова появляются в MASTG в виде профилей, чтобы помочь расставить приоритеты тестов, которые соответствуют элементам управления в MASVS. Причина этого заключается в том, что один и тот же элемент управления может привести к различным тестам в зависимости от уровня (или профиля) безопасности, необходимого приложению. Таким образом, в зависимости от требуемого профиля безопасности можно применять различные тесты. Например, для определенной категории в MASVS финансовое приложение, работающее с высококонфиденциальными данными, будет протестировано на уровне L2, тогда как другому приложению может потребоваться выполнить только тесты уровня L1 для данной категории.
Одновременно с выпуском MASVS 2.0.0 OWASP MAS перезапустил MAS Crackmes как часть своего нового веб-сайта. Это сборник задач по реверс-инжинирингу мобильных устройств Android и iOS.
Работа по рефакторингу MASTG продолжится до 2023 года с упором на автоматизацию и простоту использования. Тестовые сценарии MASTG будут согласованы с новыми элементами управления MASVS v2.0 и создадут то, что проект MAS называет «атомарными тестами». Текущие крупные тестовые сценарии MASTG будут разделены на более мелкие и более управляемые части. Это обеспечит более детальное и полное представление о тестировании MASVS, поддерживаемом MASTG, и облегчит применение новых профилей (L1, L2, R и т. д.) к тестам и сопоставление наборов тестов с конкретными сценариями использования приложений. .
Кроме того, профили MASTG будут приведены в соответствие со стандартом OSCAL (Язык оценки открытых средств управления безопасностью) NIST (Национальный институт стандартов и технологий). Это означает, что MASVS обеспечивает более гибкий и комплексный подход к тестированию безопасности и упрощает совместное использование и повторное использование элементов управления безопасностью между различными платформами безопасности и организациями.
Один набор элементов управления был полностью удален в версии MASVS версии 2.2.0. Это связано с тем, что команда увидела, что архитектурные рекомендации и лучшие практики, изложенные в MASVS-ARCH, хорошо описаны в стандартах NIST.SP.800.218 и OWASP Software Assurance Maturity Model (SAMM), и не было смысла заново изобретать велосипед. Дополнительным преимуществом этого изменения является то, что теперь все элементы управления, описанные в MASVS, можно фактически протестировать, чего не было в случае с некоторыми рекомендациями по управлению и проектированию в MASVS-ARCH.
MASVS 2.0.0 был упрощен и предназначен для предоставления полного представления набора элементов управления высокого уровня, которые необходимо проверять для мобильных приложений. Однако это означает, что разработчики не могут использовать MASVS 2.0.0 отдельно. MASVS описывает поверхности атак, но не описывает, как проверить устойчивость к ним.