评估与认证¶

OWASP 对 MASVS 认证和信任标志的立场¶

OWASP 作为一个供应商中立的非营利组织，不认证任何供应商、验证者或软件。

所有此类保证声明、信任标志或认证均未经过 OWASP 的正式审查、注册或认证，因此依赖此类观点的组织需要对任何声称 (M)ASVS 认证的第三方或信任标志保持谨慎。

这不应阻止组织提供此类保证服务，只要他们不声称获得官方 OWASP 认证。

移动应用认证指南¶

验证移动应用是否符合 MASVS 的推荐方法是执行“开放式”审查，这意味着测试人员可以访问关键资源，例如应用的架构师和开发人员、项目文档、源代码以及对端点的身份验证访问，包括至少为每个角色访问一个用户帐户。

请务必注意，MASVS 仅涵盖移动应用（客户端）的安全性。它不包含与应用关联的远程端点（例如 Web 服务）的特定控制，应根据适当的标准（例如OWASP ASVS）对其进行验证。

认证组织必须在任何报告中包括验证范围（特别是当关键组件超出范围时）、验证结果摘要（包括通过和失败的测试），并清楚地说明如何解决失败的测试。保留详细的工作文件、屏幕截图或记录、可靠且重复利用漏洞的脚本以及电子测试记录（例如拦截代理日志和相关注释，例如清理列表）被认为是标准行业惯例。仅仅运行一个工具并报告失败是不够的；这不能提供足够的证据表明已测试并彻底测试了认证级别的所有问题。如果发生争议，应有足够的佐证证据来证明每个经过验证的控件确实经过了测试。

使用 OWASP 移动应用安全测试指南 (MASTG)¶

OWASP MASTG 是用于测试移动应用安全性的手册。它描述了验证 MASVS 中列出的控件的技术流程。 MASTG 包括一个测试用例列表，每个测试用例都映射到 MASVS 中的一个控件。虽然 MASVS 控件是高级和通用的，但 MASTG 提供了基于每个移动操作系统的深入建议和测试程序。

MASTG 中未涵盖测试应用的远程端点。例如

远程端点：OWASP Web 安全测试指南 (WSTG)是一个全面的指南，其中包含详细的技术说明和指导，用于全面测试 Web 应用程序和 Web 服务的安全性，除了其他相关资源外，还可以使用它来补充移动应用程序安全测试工作。
物联网 (IoT)：OWASP IoT 安全测试指南 (ISTG)提供了一种全面的方法，用于物联网领域的渗透测试，可灵活地适应物联网市场的创新和发展，同时仍确保测试结果的可比性。该指南有助于理解物联网设备制造商和运营商以及渗透测试团队之间的沟通，这是通过建立通用术语来实现的。

自动化安全测试工具的作用¶

鼓励使用源代码扫描器和黑盒测试工具，以便尽可能提高效率。然而，仅使用自动化工具无法完成 MASVS 验证，因为每个移动应用都不同。为了充分验证应用的安全性，必须了解所使用的特定技术和框架的总体架构、业务逻辑和技术缺陷。

其他用途¶

作为详细的安全架构指导¶

移动应用安全验证标准最常见的用途之一是作为安全架构师的资源。两个主要的安全性架构框架 SABSA 或 TOGAF 缺少完成移动应用安全架构审查所需的许多信息。 MASVS 可用于填补这些空白，从而使安全架构师可以选择更好的控件来解决移动应用常见的安全问题。

作为现成安全编码检查表的替代方案¶

许多组织可以通过采用 MASVS、选择两个级别之一，或者通过 Forking MASVS 并以特定于域的方式更改每个应用程序的风险级别所需的内容来受益。我们鼓励这种类型的 Forking，只要保持可追溯性，以便如果应用程序已通过控件 4.1，则这意味着 Forked 副本与标准发展的情况相同。

作为安全测试方法的基础¶

良好的移动应用安全测试方法应涵盖 MASVS 中列出的所有控件。 OWASP 移动应用安全测试指南 (MASTG) 描述了每个验证控件的黑盒和白盒测试用例。

作为自动化单元和集成测试的指南¶

MASVS 被设计为高度可测试的，唯一例外的是架构控件。基于 MASVS 控件的自动化单元、集成和验收测试可以集成到持续开发生命周期中。这不仅提高了开发人员的安全意识，而且提高了最终应用程序的整体质量，并减少了预发布阶段安全测试期间的发现数量。

用于安全开发培训¶

MASVS 还可以用于定义安全移动应用程序的特征。许多“安全编码”课程只是道德黑客课程，其中包含一些编码技巧。这对开发人员没有帮助。相反，安全开发课程可以使用 MASVS，重点关注 MASVS 中记录的主动控件，而不是例如 Top 10 代码安全问题。