OWASP MASVS

GitHub 仓库

OWASP MASVS（移动应用安全验证标准）是移动应用安全行业的标准。它可供寻求开发安全移动应用的移动软件架构师和开发人员使用，也可供安全测试人员使用，以确保测试结果的完整性和一致性。

为了补充 MASVS，OWASP MAS 项目还提供了OWASP 移动应用安全测试指南 (MASTG)、OWASP 移动应用安全弱点枚举 (MASWE) 以及OWASP MAS 清单，它们共同是验证 OWASP MASVS 中列出的控件并证明合规性的完美配套。

下载 MASVS

MASVS 控制组

该标准分为不同的控制组，标记为 MASVS-XXXXX，它们代表了移动攻击面上最关键的领域

• MASVS-STORAGE：设备上敏感数据的安全存储（静态数据）。
• MASVS-CRYPTO：用于保护敏感数据的加密功能。
• MASVS-AUTH：移动应用使用的身份验证和授权机制。
• MASVS-NETWORK：移动应用与远程端点之间的安全网络通信（传输中数据）。
• MASVS-PLATFORM：与底层移动平台和其他已安装应用的安全交互。
• MASVS-CODE：数据处理和保持应用最新状态的安全最佳实践。
• MASVS-RESILIENCE：抵抗逆向工程和篡改尝试的韧性。
• MASVS-PRIVACY：保护用户隐私的隐私控制。

MAS 测试配置文件

从 v2.0.0 开始，MASVS 不再包含“验证级别”。MAS 项目传统上提供了三个验证级别（L1、L2 和 R），这些级别在 2023 年 MASVS 重构期间进行了重新审视，并已重新设计为“MAS 测试配置文件”，并移至OWASP MASWE。

在我们整理内容期间，作为临时措施，OWASP MAS 清单仍将包含旧的验证级别，并与当前 MASTG v1 测试相关联。但是，请注意，这些级别将完全重新设计并重新分配给相应的 MASWE 弱点。