MASVS-隐私
移动应用程序经常访问敏感的用户数据,以提供其核心功能。这些数据范围从个人身份信息 (PII)、健康指标、位置数据到设备标识符。移动设备是用户形影不离的伙伴,始终保持连接,并配备了众多的传感器(包括摄像头、麦克风、GPS 和 BLE),这些传感器生成的数据能够推断用户行为,甚至识别个人。高级跟踪技术、第三方 SDK 的集成以及用户和监管机构对隐私问题的高度关注使情况变得更加复杂。因此,越来越多的趋势是进行设备端处理,以使用户数据本地化并更加安全。
2023¶
MASTG 重构第二部分 - 技术、工具和参考应用
我们很高兴宣布 MASTG(移动应用安全测试指南)重构的第二阶段。这些更改旨在增强 MASTG 的可用性和可访问性。
此新重构的主要重点是将 MASTG 内容重组为不同的组件,每个组件都位于其专用的部分/文件夹中,现在以网站上的各个页面(GitHub 中带有元数据/前言的 markdown 文件)的形式存在
征求社区评审:移动应用新风险评估公式
2023年9月20日:征求社区评审:移动应用新风险评估公式
我们很高兴地宣布由行业、学术界和 OWASP 移动应用程序安全 (MAS) 项目共同发布的一项新的合作成果。 本文档介绍了一种新的公式,旨在衡量与移动应用程序相关的风险。
MAS 测试配置文件和 MASTG 原子测试
MASTG 重构是一项重要的升级,它解决了现有的一些挑战并引入了令人兴奋的新功能。它旨在简化合规性、简化测试并提高安全测试人员和其他利益相关者的可用性。
MAS 测试配置文件
作为 MASVS 重构的一部分,我们已将三个传统的验证级别(L1、L2 和 R)替换为 MASTG 中的安全测试配置文件。 这些新配置文件旨在提高我们捕获与移动应用程序相关的各种安全细微差别的能力,从而使我们能够评估同一 MASVS 控件的不同情况。 例如,在 MASVS-STORAGE-1 中,在 MAS-L1 的应用程序内部存储中存储未加密的数据是可以接受的,但 MAS-L2 要求进行数据加密。
MASVS v2 颜色
我们正在为 MASVS 引入官方颜色! 新的颜色将在 MASVS v2.0.0 和 MASTG v2.0.0 中使用,以帮助用户快速识别不同的控制组。 我们还改进了我们网站的某些区域,使其更具可读性和更易于浏览,并为 MASTG v2.0.0 的到来做好准备(关键词:“原子测试”)。
MASVS v2.0.0 发布
我们很高兴地宣布发布新版本的OWASP 移动应用程序安全验证标准 (MASVS) v2.0.0。 通过此更新,我们着手实现几个关键目标,以确保 MASVS 仍然是移动应用程序安全的领先行业标准。