Skip to content

Avaliação e Certificação

Posicionamento da OWASP sobre Certificações e Selos de Confiança do MASVS

A OWASP, como organização sem fins lucrativos e neutra em relação a fornecedores, não certifica nenhum fornecedor, verificador ou software.

Todas essas declarações de garantia, selos de confiança ou certificações não são oficialmente avaliados, registrados ou certificados pela OWASP, portanto, uma organização que confia em tal visão precisa ter cautela com a confiança depositada em qualquer terceira parte ou selo de confiança que afirme ter certificação (M)ASVS.

Isso não deve impedir que organizações ofereçam tais serviços de garantia, desde que não aleguem certificação oficial da OWASP.

Orientações para Certificação de Aplicativos Móveis

A maneira recomendada de verificar a conformidade de um aplicativo móvel com o MASVS é realizando uma revisão "open book", significando que os testadores têm acesso a recursos-chave como arquitetos e desenvolvedores do aplicativo, documentação do projeto, código-fonte e acesso autenticado a pontos de extremidade, incluindo acesso a pelo menos uma conta de usuário para cada função.

É importante observar que o MASVS cobre apenas a segurança do aplicativo móvel (lado do cliente). Ele não contém controles específicos para os pontos de extremidade remotos (ex.: web services) associados ao aplicativo, e estes devem ser verificados contra padrões apropriados, como o OWASP ASVS.

Uma organização certificadora deve incluir em qualquer relatório o escopo da verificação (particularmente se um componente-chave estiver fora do escopo), um resumo das descobertas da verificação, incluindo testes aprovados e reprovados, com indicações claras de como resolver os testes reprovados. Manter papéis de trabalho detalhados, screenshots ou gravações, scripts para explorar de forma confiável e repetível um problema, e registros eletrônicos de teste, como logs de proxy de interceptação e notas associadas como uma lista de limpeza, é considerado uma prática padrão da indústria. Não é suficiente simplesmente executar uma ferramenta e relatar as falhas; isso não fornece evidência suficiente de que todos os problemas em um nível de certificação foram testados e testados minuciosamente. Em caso de disputa, deve haver evidências de suporte suficientes para demonstrar que cada controle verificado foi de fato testado.

Usando o OWASP Mobile Application Security Testing Guide (MASTG)

O OWASP MASTG é um manual para testar a segurança de aplicativos móveis. Ele descreve os processos técnicos para verificar os controles listados no MASVS. O MASTG inclui uma lista de casos de teste, cada um mapeado para um controle no MASVS. Enquanto os controles do MASVS são de alto nível e genéricos, o MASTG fornece recomendações detalhadas e procedimentos de teste por sistema operacional móvel.

O teste dos pontos de extremidade remotos do aplicativo não é coberto pelo MASTG. Por exemplo:

  • Pontos de Extremidade Remotos: O OWASP Web Security Testing Guide (WSTG) é um guia abrangente com explicação técnica detalhada e orientações para testar a segurança de aplicações web e web services de forma holística e pode ser usado além de outros recursos relevantes para complementar o exercício de teste de segurança de aplicativos móveis.
  • Internet das Coisas (IoT): O OWASP IoT Security Testing Guide (ISTG) fornece uma metodologia abrangente para testes de penetração no campo de IoT, oferecendo flexibilidade para adaptar inovações e desenvolvimentos no mercado de IoT, mantendo ainda a comparabilidade dos resultados de teste. O guia proporciona uma compreensão da comunicação entre fabricantes e operadores de dispositivos IoT, bem como equipes de teste de penetração, facilitada pelo estabelecimento de uma terminologia comum.

O Papel de Ferramentas Automatizadas de Teste de Segurança

O uso de scanners de código-fonte e ferramentas de teste black-box é incentivado para aumentar a eficiência sempre que possível. No entanto, não é possível completar a verificação do MASVS usando apenas ferramentas automatizadas, já que cada aplicativo móvel é diferente. Para verificar totalmente a segurança do aplicativo, é essencial entender a arquitetura geral, a lógica de negócio e as armadilhas técnicas das tecnologias e frameworks específicos sendo utilizados.

Outros Usos

Como Orientação Detalhada de Arquitetura de Segurança

Um dos usos mais comuns do Mobile Application Security Verification Standard é como recurso para arquitetos de segurança. Os dois principais frameworks de arquitetura de segurança, SABSA ou TOGAF, carecem de muita informação necessária para completar revisões de arquitetura de segurança de aplicativos móveis. O MASVS pode ser usado para preencher essas lacunas, permitindo que arquitetos de segurança escolham melhores controles para problemas comuns a aplicativos móveis.

Como Substituição para Listas de Verificação de Codificação Segura Prontas

Muitas organizações podem se beneficiar da adoção do MASVS, escolhendo um dos dois níveis, ou fazendo um fork do MASVS e alterando o que é necessário para o nível de risco de cada aplicativo de maneira específica do domínio. Incentivamos esse tipo de fork desde que a rastreabilidade seja mantida, para que se um aplicativo tiver passado no controle 4.1, isso signifique a mesma coisa para cópias forkadas à medida que o padrão evolui.

Como Base para Metodologias de Teste de Segurança

Uma boa metodologia de teste de segurança de aplicativos móveis deve cobrir todos os controles listados no MASVS. O OWASP Mobile Application Security Testing Guide (MASTG) descreve casos de teste black-box e white-box para cada controle de verificação.

Como Guia para Testes Automatizados de Unidade e Integração

O MASVS é projetado para ser altamente testável, com a única exceção dos controles arquiteturais. Testes automatizados de unidade, integração e aceitação baseados nos controles do MASVS podem ser integrados no ciclo de vida de desenvolvimento contínuo. Isso não apenas aumenta a conscientização sobre segurança dos desenvolvedores, mas também melhora a qualidade geral dos aplicativos resultantes e reduz a quantidade de descobertas durante os testes de segurança na fase de pré-lançamento.

Para Treinamento em Desenvolvimento Seguro

O MASVS também pode ser usado para definir características de aplicativos móveis seguros. Muitos cursos de "codificação segura" são simplesmente cursos de ethical hacking com uma leve camada de dicas de codificação. Isso não ajuda os desenvolvedores. Em vez disso, cursos de desenvolvimento seguro podem usar o MASVS, com forte foco nos controles proativos documentados no MASVS, em vez de, por exemplo, as 10 principais questões de segurança de código.