Language
Una guida pratica a OWASP MASVS v2.0
CasaCasa > Blog > Una guida pratica a OWASP MASVS v2.0
ULTIME NOTIZIE

Una guida pratica a OWASP MASVS v2.0

May 26, 2023

Home » Calendario Editoriale » Sicurezza API » Una guida pratica a OWASP MASVS v2.0 – La sua evoluzione e implementazione

L'OWASP (Open Worldwide Application Security Project) MASVS (Mobile Application Security Verification Standard) è una risorsa preziosa per gli sviluppatori di app mobili che cercano di migliorare il livello di sicurezza delle loro applicazioni iOS e Android. Lo standard si basa sulla conoscenza collettiva di esperti di sicurezza di tutto il mondo e fornisce sia una base di riferimento che un punto di riferimento per i requisiti di sicurezza per le app mobili.

Ci sono 3 documenti chiave che possono essere scaricati dal sito OWASP:

Il team chiarisce che i documenti MASVS possono essere aggiornati in qualsiasi momento e che c'è stato un importante refactoring delle raccomandazioni culminato nella V2.0.0 di MASVS che è stata rilasciata nella primavera del 2023.

MASVS ha continuato ad evolversi da quando OWASP ha riconosciuto per la prima volta le sfide uniche alla sicurezza delle app mobili e ha pubblicato la prima OWASP Mobile Top 10 nel 2010. È diventato molto più completo nella sua copertura e allo stesso tempo è stato semplificato e la sovrapposizione tra i controlli è stata ridotta. RIMOSSO. Alcuni contenuti che riguardavano maggiormente i test sono stati spostati nel MASTG come casi di test.

Nella versione precedente di MASVS erano definiti tre livelli: L1, L2 e R. L1 era inteso come linea di base e L2 definiva i requisiti di difesa approfondita per le "app che gestiscono dati sensibili". Il livello R ha fornito raccomandazioni dettagliate per proteggersi dalle minacce lato client.

Come parte del refactoring di MASVS, questi livelli sono stati eliminati da MASVS per creare un insieme più astratto di controlli di sicurezza. I livelli tuttavia riappaiono nel MASTG come profili per aiutare a dare la priorità ai test che corrispondono ai controlli nel MASVS. La logica alla base di ciò è che lo stesso controllo può portare a test diversi, a seconda del livello (o profilo) di sicurezza di cui l’app ha bisogno. In questo modo è possibile applicare test diversi in base al profilo di sicurezza richiesto. Per una determinata categoria in MASVS, ad esempio, un'app finanziaria che tratta dati altamente sensibili verrà testata al livello L2, mentre un'altra app potrebbe richiedere di soddisfare solo i test di livello L1 per la determinata categoria.

In concomitanza con il rilascio di MASVS 2.0.0, OWASP MAS ha rilanciato il MAS Crackmes come parte del suo nuovo sito web. Questa è una raccolta di sfide di reverse engineering mobile Android e iOS.

Il lavoro di refactoring di MASTG proseguirà fino al 2023 con particolare attenzione all'automazione e alla facilità d'uso. I casi di test MASTG saranno allineati con i nuovi controlli MASVS v2.0 e creeranno ciò che il progetto MAS chiama "test atomici". Gli attuali casi di test MASTG di grandi dimensioni saranno suddivisi in parti più piccole e più gestibili. Ciò fornirà una visione più dettagliata e completa dei test MASVS supportati dal MASTG e renderà più semplice applicare i nuovi profili (L1, L2, R ecc.) ai test e mappare set di test a casi d'uso specifici dell'app .

Inoltre, i profili MASTG saranno allineati allo standard OSCAL (Open Security Controls Assessment Language) del NIST (National Institute of Standards and Technology). Ciò significa che MASVS fornisce un approccio più flessibile e completo ai test di sicurezza e semplifica la condivisione e il riutilizzo dei controlli di sicurezza tra diverse piattaforme e organizzazioni di sicurezza.

Un set di controlli è stato completamente rimosso nella V2.2.0 di MASVS. Questo perché il team ha visto che le linee guida architetturali e le migliori pratiche delineate in MASVS-ARCH sono ben trattate nel NIST.SP.800.218 e negli standard OWASP Software Assurance Maturity Model (SAMM) e non aveva senso reinventare la ruota. Un ulteriore vantaggio di questo cambiamento è che ora è possibile effettivamente testare tutti i controlli descritti in MASVS: questo non era il caso di alcune raccomandazioni di governance e progettazione in MASVS-ARCH.

MASVS 2.0.0 è stato semplificato e ha lo scopo di fornire una visione completa dell'insieme di controlli di alto livello che devono essere verificati per le app mobili. Ciò tuttavia significa che gli sviluppatori non possono utilizzare MASVS 2.0.0 da solo. MASVS descrive le superfici di attacco ma non descrive come testare la resilienza contro di esse.