跳过内容

庆祝 NowSecure 成为 OWASP MAS 倡导者三周年

很少有合作关系能像 NowSecure 与 OWASP 移动应用安全 (MAS) 项目之间的合作那样产生如此大的影响。今天,当我们庆祝 NowSecure 作为 OWASP MAS 倡导者三周年之际,我们回顾这段以创新、协作和持续改进为标志的历程,它为未来的行业合作奠定了蓝图。

成为一名 MAS 倡导者意味着要做出高影响力的贡献。NowSecure 始终如一地做到了这一点,投入了关键专家(特别是项目负责人 Carlos Holguera)的专属时间,并在需要时提供了额外的支持。

GitHub 讲述了一个引人入胜的故事,关于 NowSecure 在过去三年中参与 OWASP MAS 项目的情况:

  • 320+ 个拉取请求
  • 230+ 次评审
  • 42,000+ 行新增代码
  • 29,500+ 行删除代码

这些数字不仅仅反映了活动,它们还展示了领导力。NowSecure 通过贡献有价值的内容、审查社区提交的内容以及保持项目的整体清晰度和质量,显着增强了 OWASP MAS 资源。

但这不仅仅是数字。NowSecure 一直是 OWASP MAS 项目发展的驱动力,提供战略见解、技术专长以及对卓越的承诺,这些都塑造了我们的方向和影响力。下面,我们回顾过去几年的关键里程碑和贡献,这是一个时间表,突出了 NowSecure 在 MAS 项目发展的每个阶段所发挥的重要作用。

从 MSTG 更名为 OWASP MAS

2022 年 8 月,我们宣布对该项目进行更名,该项目以前称为“OWASP 移动安全测试指南 (MSTG)”项目。新的名称 OWASP 移动应用安全 (MAS) 更好地反映了我们项目的完整范围,从 MAS 验证标准 (MASVS) 和 MAS 测试指南 (MASTG) 到检查表和 crackme。以及后来的移动应用安全弱点枚举 (MASWE)。

NowSecure 提供了战略见解和行业视角,帮助明确了项目的范围和信息。他们的早期反馈确保了新品牌不仅与社区产生共鸣,而且为未来的增强功能设定了明确的方向。

MASVS v2.0.0 发布

2023年4月,MASVS v2.0.0 发布,这是重新定义移动应用安全标准的一个重要里程碑。此次发布引入了关键改进:

  • 抽象与简化: 移除了冗余控制,使 MASVS 对开发人员更易于接近。
  • 通过标准化提高清晰度: 利用并参考成熟的标准,确保我们的控制措施清晰且可操作。
  • 引入 MAS 测试配置文件: 从之前的“级别”过渡到新的“配置文件”,允许在实际场景中进行更具针对性的评估。

NowSecure 的技术专长和在开发过程中的持续反馈发挥了重要作用。他们的真实世界测试场景和对拟议变更的严格审查有助于塑造一个真正满足现代移动应用安全专业人员需求的标准。

MASTG 重构第 1 部分:测试配置文件 & 原子测试

2023年7月,我们宣布了 MASTG 重构的第一阶段,包括:

  • 新的 MAS 测试配置文件: 使用真实场景支持的“配置文件”替换传统的验证级别。此更改允许进行更具针对性的评估,从而更容易理解每个测试的上下文和适用性。
  • 原子测试: 将大型测试分解为更小、独立的单元,减少了歧义并提高了可追溯性。

在整个过程中,NowSecure 的深入技术审查和试点测试非常宝贵。他们愿意尝试重构测试的早期版本,确保新结构既健壮又实用,适合实际应用,最终提高了 MASTG 的整体质量和一致性。

MASTG 重构第 2 部分 - 模块化框架

2023年9月下旬,我们宣布了 MASTG 重构的第二阶段,重点关注模块化方法:

  • 该指南被重新组织成不同的组件——测试、技术、工具和应用程序——使其更容易查找和引用特定内容。
  • 这种模块化增强了整体框架的交叉引用和可维护性。

NowSecure 提供了对模块化过程的关键反馈,并执行了新结构的实施。他们对安全专业人员如何与 MASTG 交互的见解有助于塑造一个更用户友好和高效的资源。

引入 MASVS-PRIVACY

2023 年 10 月标志着我们范围的重大扩展,引入了 MASVS-PRIVACY 作为一项提案,该提案后来在经过社区和行业范围的彻底审查后,于 2024 年 1 月被纳入 MASVS v2.1.0 的发布中。

NowSecure 在移动安全和隐私问题方面的领导地位是这一补充的驱动力。他们对隐私问题的积极立场以及处理数据保护挑战的实践经验有助于塑造一个强大的基线,以满足现代隐私需求。

MAS 特遣部队

2024 年 2 月,我们启动了 MAS 特遣部队,这是一个由移动安全专家组成的重点小组,他们每月举行会议以推动 MAS 项目路线图向前发展。他们的工作包括管理 GitHub 问题、完善新的 MAS 配置文件和风险、分配任务以及为 Android 和 iOS 开发易受攻击的代码片段。目前,该小组专注于将 V1 测试移植到 V2,为 MASTG V2 做准备。

NowSecure 的持续支持在使这项计划成为可能方面发挥着关键作用。通过使 Carlos Holguera 能够投入时间和专业知识来领导这项工作,特遣部队保持了强劲的势头。凭借技术深度和战略方向的结合,Carlos 帮助该小组有效地确定优先级,并以一致性和清晰性推动 MAS 项目向前发展。

新的 MAS 测试应用和标准化演示

2024年5月,我们发布了适用于 Android 和 iOS 的新 MAS 测试应用,旨在促进动手学习和测试。这些应用程序包括:

  • 骨架应用:Android 和 iOS 的基本框架,允许用户探索和验证安全场景。
  • 代码示例:嵌入在应用程序中,这些示例演示了移动应用安全中的最佳(和最差)实践以及常见陷阱。
  • 构建自动化:利用 GitHub Actions,我们自动化了这些演示的构建和 MASTG 集成过程,确保它们保持最新和功能正常。

NowSecure 在移动应用安全测试方面的专业知识在这些测试应用的开发中非常宝贵。他们对真实世界漏洞的见解以及处理移动安全挑战的实践经验有助于塑造应用的设计和功能,确保它们对用户来说既实用又有效。

介绍 OWASP MASWE

2024年7月引入了移动应用安全漏洞枚举 (MASWE)

  • MASWE 弥合了高层 MASVS 控制与详细 MASTG 测试之间的差距。
  • 它提供了特定漏洞的详细视图,增强了从需求到单个测试用例的可追溯性。

NowSecure 对 MASWE 早期草案的全面审查和详细反馈至关重要。他们能够查明真实世界的漏洞并提出可行的改进建议,这有助于将 MASWE 塑造成一种补充 MASVS 和 MASTG 的工具,确保我们的框架保持整体性并对新兴威胁做出响应。

OWASP 项目峰会 2024

2024 年 11 月,我们举办了 OWASP 项目峰会,NowSecure 在会上领导了移动应用安全分会场。这次为期五天的活动汇集了来自各个公司的专家,讨论移动安全的未来、分享见解并合作开发创新解决方案。在峰会期间,创建了大约 40 个 pull requests,并举行了无数次讨论。

NowSecure 通过审查贡献和推动技术讨论,确保产生的想法具有可操作性并符合项目的目标,从而发挥了关键作用。在帮助组织和指导分会场的 Carlos Holguera 的领导下,NowSecure 营造了一种协作和知识共享的环境——为未来的 OWASP 活动树立了高标准。

展望未来

当我们庆祝这三年的合作伙伴关系时,我们对未来的发展感到兴奋。这些贡献不仅仅是里程碑,它们还是未来的基石。感谢令人难以置信的社区支持、持续的倡导以及像 NowSecure 这样的组织的热情,MAS 项目的下一个篇章有望在未来几年实现更大的创新和影响。

我们邀请您与我们一起踏上这段旅程,分享您的见解,并为塑造移动安全的未来贡献力量。

感谢 NowSecure,您是卓越的灯塔,也是我们全球移动应用安全使命中值得信赖的合作伙伴。