MASVS-CODE:代码质量¶
移动应用有许多数据入口点,包括 UI、IPC、网络和文件系统,这些入口点可能会接收到被不受信任的行为者意外修改的数据。通过将这些数据视为不受信任的输入,并在使用前对其进行适当的验证和清理,开发人员可以防止经典的注入攻击,例如 SQL 注入、XSS 或不安全的反序列化。但是,其他常见的编码漏洞,例如内存损坏缺陷,很难在渗透测试中检测到,但通过安全架构和编码实践很容易预防。开发人员应遵循最佳实践,例如OWASP 软件保证成熟度模型 (SAMM)和NIST.SP.800-218 安全软件开发框架 (SSDF),以避免首先引入这些缺陷。
此类别涵盖了由外部来源(如应用程序数据入口点、操作系统和第三方软件组件)引起的编码漏洞。开发人员应验证和清理所有传入数据,以防止注入攻击和绕过安全检查。他们还应强制执行应用程序更新,并确保应用程序运行最新的平台,以保护用户免受已知漏洞的侵害。
控制项¶
| ID | 控制 |
|---|---|
| MASVS-代码-1 | 应用程序需要最新的平台版本。 |
| MASVS-代码-2 | 应用程序具有强制执行应用程序更新的机制。 |
| MASVS-代码-3 | 应用程序仅使用没有已知漏洞的软件组件。 |
| MASVS-代码-4 | 应用程序验证并清理所有不受信任的输入。 |