MAS 测试配置文件和 MASTG 原子测试
MASTG 重构是一项重要的升级,它解决了现有的一些挑战并引入了令人兴奋的新功能。它旨在简化合规性、简化测试并提高安全测试人员和其他利益相关者的可用性。
MAS 测试配置文件¶
作为 MASVS 重构的一部分,我们已经用 MASTG 中的安全测试配置文件取代了三个传统的验证级别(L1、L2 和 R)。这些新的配置文件旨在增强我们捕捉与移动应用程序相关的各种安全细微差别的能力,使我们能够评估相同 MASVS 控制的不同情况。 例如,在MASVS-STORAGE-1中,对于 MAS-L1,可以接受将数据以未加密的形式存储在应用程序内部存储中,但 MAS-L2 需要数据加密。
新的 MAS 测试配置文件包括对传统级别的改进版本和一个新的补充
我们正在探索的另一个有趣的补充是“隐私”配置文件,它将侧重于考虑各种应用程序功能和功能的隐私影响的测试。 我们相信,在隐私已成为一个重要问题的时代,此配置文件可以成为必不可少的工具。
寻求帮助: 今天,我们发布了新的 MAS 测试配置文件,希望听到您的想法。 请在此处提供您的反馈,截止日期为 2023 年 8 月 31 日。
原子测试¶
MASTG 重构中的一项关键更改是引入了新的 MASTG 原子测试。 现有的测试目前非常庞大,通常涵盖多个 MASVS 控制。 通过引入原子测试,我们将把这些测试分解成更小、更易于管理的部分。 我们的目标是使这些测试尽可能独立和具体,以减少歧义,更好地理解和更轻松地执行。 每个原子测试都将具有其唯一的 ID,以便于参考和追溯,并将映射到 MASVS 中的相关控制。
但在开始编写新的原子测试之前,我们需要最终确定新的 MASTG 原子测试的提案,包括映射到 MASVS 控制和新的 MAS 测试配置文件。
寻求帮助: 今天,我们发布了新的 MASTG 原子测试提案,希望听到您的想法。 请在此处提供您的反馈,截止日期为 2023 年 8 月 31 日。
下一步是什么?¶
我们现在正在根据上面突出显示的更改转换 MASTG。 我们已经发布了 MASVS v2.0.0,今年的剩余时间将致力于 MASTG 重构,这将涉及创建数百个新测试。 我们相信这些更改将大大提高 MASTG 的可用性和相关性。 我们很高兴让您了解我们的进展,并期待您继续的支持和反馈。
我们要特别感谢我们的 MAS 倡导者 NowSecure。 他们对 OWASP 项目的承诺不仅仅是经济上的,更是对他们最宝贵的资源——他们的员工和时间的投资。 NowSecure 投入了数小时的专业知识、广泛的知识和辛勤工作,使这些变化成为现实。
当然,非常感谢我们更广泛的社区和我们所有的贡献者。 您的持续参与和投入对于 OWASP MAS 项目的演进起到了重要作用。 正是通过这种协作努力,我们才能真正地在移动应用程序安全领域取得进步。 感谢您参与这次旅程!