Skip to content

OWASP MASVS

Repositório no GitHub

O OWASP MASVS (Mobile Application Security Verification Standard) é o padrão do setor para segurança de aplicações móveis. Ele pode ser usado por arquitetos e desenvolvedores de software móvel que buscam desenvolver aplicações móveis seguras, bem como por testadores de segurança para garantir a completude e consistência dos resultados de teste.

Para complementar o MASVS, o projeto OWASP MAS também fornece o OWASP Mobile Application Security Testing Guide (MASTG), o OWASP Mobile Application Security Weakness Enumeration (MASWE) e a OWASP MAS Checklist, que juntos são o companheiro perfeito para verificar os controles listados no OWASP MASVS e demonstrar conformidade.



Grupos de Controles do MASVS

O padrão está dividido em vários grupos de controles, rotulados como MASVS-XXXXX, que representam as áreas mais críticas da superfície de ataque móvel:

  • MASVS-STORAGE: Armazenamento seguro de dados sensíveis em um dispositivo (dados em repouso).
  • MASVS-CRYPTO: Funcionalidade criptográfica usada para proteger dados sensíveis.
  • MASVS-AUTH: Mecanismos de autenticação e autorização usados pelo aplicativo móvel.
  • MASVS-NETWORK: Comunicação segura em rede entre o aplicativo móvel e endpoints remotos (dados em trânsito).
  • MASVS-PLATFORM: Interação segura com a plataforma móvel subjacente e outros aplicativos instalados.
  • MASVS-CODE: Melhores práticas de segurança para processamento de dados e manutenção do aplicativo atualizado.
  • MASVS-RESILIENCE: Resiliência contra tentativas de engenharia reversa e adulteração.
  • MASVS-PRIVACY: Controles de privacidade para proteger a privacidade do usuário.

Perfis de Teste MAS

A partir da versão 2.0.0, o MASVS não contém "níveis de verificação". O projeto MAS tradicionalmente fornecia três níveis de verificação (L1, L2 e R), que foram revisados durante a refatoração do MASVS em 2023 e foram reformulados como "Perfis de Teste MAS" e transferidos para o OWASP MASWE.

Enquanto reorganizamos as coisas e como uma medida temporária, a OWASP MAS Checklist ainda conterá os antigos níveis de verificação, associados aos testes atuais do MASTG v1. No entanto, observe que os níveis serão completamente reformulados e reassociados às fraquezas correspondentes do MASWE.