跳过内容

MASVS v2.0.0 发布

我们很高兴地宣布新版本的 OWASP 移动应用安全验证标准 (MASVS) v2.0.0 发布。 通过这次更新,我们着手实现几个关键目标,以确保 MASVS 仍然是移动应用安全领域的领先行业标准。

  • 保持抽象性:我们努力保持了 MASVS 过去非常有价值的抽象级别。 我们将细节留给 MASTG。
  • 简化:我们通过消除安全控制中的冗余和重叠来简化了 MASVS。 这将使使用者更容易理解该标准,并将其有效地应用于自己的项目中。
  • 提高清晰度:我们努力尽可能使用标准术语,借鉴 NIST-SP 800-175B 和 NIST OSCAL 等已建立的来源,以及 CWE、Android 开发人员文档和 Apple 文档等众所周知且常用的来源。
  • 缩小范围:我们缩小了 MASVS 的范围,更加依赖其他行业标准,例如 OWASP ASVS、OWASP SAMM 和 NIST.SP.800-218 SSDF v1.1。 这将确保 MASVS 在快速发展的移动应用安全领域保持相关性和最新性。

我们相信这些改变将使 OWASP MASVS v2.0.0 成为对开发人员和安全从业人员更有价值的资源,我们很高兴看到业界如何接受这些更新。

MASVS v2.0.0 在 OWASP AppSec Dublin 2023 上进行了展示,您可以观看演示 ▶️ 在这里

为什么新的 MASVS 控制中没有级别?

您已经知道的级别(L1、L2 和 R)将被完全审查,并得到更正且有据可查的威胁模型的支持。

进入 MAS 配置文件: 我们正在将级别移动到 MASTG 测试中,以便我们可以评估相同控制的不同情况(例如,在 MASVS-STORAGE-1 中,对于 L1 来说,将数据未加密存储在应用程序内部存储中是可以的,但 L2 需要数据加密)。 这可能会根据应用程序的安全配置文件导致不同的测试。

过渡阶段

MASTG 在其当前版本 v1.5.0 中,目前仍支持 MASVS v1.5.0。 使 MASTG 达到 v2.0.0 以完全兼容 MASVS v2.0.0 需要一些时间。 这就是为什么我们需要引入“过渡阶段”。 我们目前正在将所有新提出的测试用例映射到新的配置文件(至少 L1 和 L2),因此即使 MASTG 重构尚未完成,您也会知道要测试什么,并且您将能够在 MASTG 中找到大多数测试。

  • 将当前的 MASTG 测试映射到新的 MASVS v2.0.0。
  • 将配置文件分配给提议的 MASTG 原子测试(至少 L1、L2 和 R)。

特别感谢

感谢所有参与 MASVS 重构的人。 您可以访问所有关于重构的讨论和文档 这里

您会注意到我们在 MASVS 中有一位新作者:Jeroen Beckers

Jeroen 是一位移动安全负责人,负责移动安全项目的质量保证以及所有移动事务的研发。 自从他的 Android 安全硕士论文以来,Jeroen 一直对移动设备及其(不)安全性感兴趣。 他喜欢与他人分享他的知识,他在大学、客户和会议上的许多演讲和培训证明了这一点。

💙 特别感谢我们的 MAS 倡导者NowSecure,他们再次通过持续提供时间/专门资源以及反馈、数据和内容贡献来证明他们对该项目的承诺。