Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarUm guia prático para OWASP MASVS v2.0
Home » Calendário Editorial » Segurança de API » Um Guia Prático para OWASP MASVS v2.0 – Sua Evolução e Implementação
O OWASP (Open Worldwide Application Security Project) MASVS (Mobile Application Security Verification Standard) é um recurso valioso para desenvolvedores de aplicativos móveis que buscam melhorar a postura de segurança de seus aplicativos iOS e Android. O padrão é baseado no conhecimento coletivo de especialistas em segurança de todo o mundo e fornece uma linha de base e uma referência para requisitos de segurança para aplicativos móveis.
Existem 3 documentos principais que podem ser baixados do site da OWASP:
A equipe deixa claro que os documentos do MASVS podem ser atualizados a qualquer momento, e houve uma grande refatoração das recomendações que culminou na V2.0.0 do MASVS, que foi lançada na primavera de 2023.
O MASVS continuou a evoluir desde que o OWASP reconheceu pela primeira vez os desafios únicos de segurança dos aplicativos móveis e publicou o primeiro OWASP Mobile Top 10 em 2010. Tornou-se muito mais abrangente em sua cobertura e, ao mesmo tempo, foi simplificado e a sobreposição entre controles foi removido. Alguns conteúdos que eram mais sobre testes foram movidos para o MASTG como casos de teste.
Na versão anterior do MASVS foram definidos três níveis: L1, L2 e R. L1 foi concebido como uma linha de base, e L2 definiu requisitos de defesa em profundidade para “aplicativos que lidam com dados confidenciais”. O nível R forneceu recomendações detalhadas para proteção contra ameaças do lado do cliente.
Como parte da refatoração do MASVS, esses níveis foram eliminados do MASVS para criar um conjunto mais abstrato de controles de segurança. Os níveis estão, no entanto, reaparecendo no MASTG como perfis para ajudar a priorizar os testes que correspondem aos controles no MASVS. A lógica por trás disso é que o mesmo controle pode levar a testes diferentes, dependendo do nível (ou perfil) de segurança que o aplicativo necessita. Desta forma, diferentes testes podem ser aplicados com base no perfil de segurança requerido. Para uma determinada categoria no MASVS, por exemplo, uma aplicação financeira que lida com dados altamente sensíveis será testada ao nível L2, enquanto uma aplicação diferente poderá exigir o cumprimento apenas de testes de nível L1 para a categoria determinada.
Coincidindo com o lançamento do MASVS 2.0.0, o OWASP MAS relançou o MAS Crackmes como parte de seu novo site. Esta é uma coleção de desafios de engenharia reversa para dispositivos móveis Android e iOS.
O trabalho de refatoração do MASTG continuará até 2023 com ênfase na automação e na facilidade de uso. Os casos de teste MASTG serão alinhados com os novos controles MASVS v2.0 e criarão o que o projeto MAS chama de “testes atômicos”. Os atuais grandes casos de teste do MASTG serão divididos em partes menores e mais gerenciáveis. Isso fornecerá uma visão mais refinada e abrangente dos testes MASVS apoiados pelo MASTG e facilitará a aplicação dos novos perfis (L1, L2, R etc.) aos testes e ao mapeamento de conjuntos de testes para casos de uso de aplicativos específicos .
Além disso, os perfis MASTG serão alinhados ao padrão NIST (National Institute of Standards and Technology) OSCAL (Open Security Controls Assessment Language). Isso significa que o MASVS oferece uma abordagem mais flexível e abrangente para testes de segurança e facilita o compartilhamento e a reutilização dos controles de segurança entre diferentes plataformas e organizações de segurança.
Um conjunto de controles foi completamente removido na V2.2.0 do MASVS. Isso ocorre porque a equipe viu que as diretrizes de arquitetura e as melhores práticas descritas no MASVS-ARCH estão bem cobertas no NIST.SP.800.218 e nos padrões do OWASP Software Assurance Maturity Model (SAMM) e não fazia sentido reinventar a roda. Um benefício adicional desta mudança é que agora todos os controlos descritos no MASVS podem realmente ser testados – este não foi o caso com algumas das recomendações de governação e design do MASVS-ARCH.
O MASVS 2.0.0 foi simplificado e tem como objetivo fornecer uma visão completa do conjunto de controles de alto nível que deve ser verificado para aplicativos móveis. No entanto, isso significa que os desenvolvedores não podem simplesmente usar o MASVS 2.0.0 sozinho. MASVS descreve superfícies de ataque, mas não descreve como testar a resiliência contra elas.