跳过内容

MASVS v2.1.0 发布及 MASVS-PRIVACY

我们很高兴地宣布发布新版本的 OWASP 移动应用安全验证标准 (MASVS) v2.1.0,其中包括新的 MASVS-PRIVACY 类别和 CycloneDX 支持。

MASVS-PRIVACY

在收集和处理了 MASVS-PRIVACY 提案中的所有反馈后,我们发布了新的 MASVS-PRIVACY 类别

MASVS-PRIVACY 的主要目标是为用户隐私提供基准。它并非旨在涵盖用户隐私的所有方面,尤其是当 ENISA 或 GDPR 等其他标准和法规已经做到这一点时。我们专注于应用程序本身,着眼于可以使用公开可用的信息或通过静态或动态分析等方法在应用程序中找到的信息进行测试的内容。

虽然一些相关的测试可以自动化,但由于隐私的细微性质,其他测试需要人工干预。 例如,如果一个应用程序收集了它在应用商店或其隐私政策中没有提及的数据,则需要仔细的人工检查才能发现这一点。

新的控制措施是

  • MASVS-PRIVACY-1:应用程序最大限度地减少对敏感数据和资源的访问。
  • MASVS-PRIVACY-2:应用程序防止识别用户。
  • MASVS-PRIVACY-3:应用程序对数据收集和使用保持透明。
  • MASVS-PRIVACY-4:应用程序提供用户对其数据的控制权。

CycloneDX 支持

MASVS 现在以 CycloneDX 格式 (OWASP_MASVS.cdx.json) 提供,这是一种广泛采用的软件物料清单 (SBOM) 标准。 这种格式可以在 DevOps 管道中实现更轻松的集成和自动化,从而提高移动应用安全性的可见性和管理。 通过使用 CycloneDX,开发人员和安全团队可以更有效地评估、跟踪和遵守 MASVS 要求,从而实现更安全的移动应用程序。