MASVS-CODE: Qualidade do Código¶
Aplicativos móveis possuem diversos pontos de entrada de dados, incluindo a UI, IPC, rede e sistema de arquivos, que podem receber dados inadvertidamente modificados por atores não confiáveis. Ao tratar esses dados como entrada não confiável e verificá-los e sanitizá-los adequadamente antes do uso, os desenvolvedores podem prevenir ataques clássicos de injeção, como SQL injection, XSS ou desserialização insegura. No entanto, outras vulnerabilidades comuns de codificação, como falhas de corrupção de memória, são difíceis de detectar em testes de penetração, mas fáceis de prevenir com arquitetura segura e práticas de codificação. Os desenvolvedores devem seguir as melhores práticas, como o OWASP Software Assurance Maturity Model (SAMM) e o NIST.SP.800-218 Secure Software Development Framework (SSDF), para evitar introduzir essas falhas em primeiro lugar.
Esta categoria abrange vulnerabilidades de codificação que surgem de fontes externas, como pontos de entrada de dados do aplicativo, o sistema operacional e componentes de software de terceiros. Os desenvolvedores devem verificar e sanitizar todos os dados recebidos para prevenir ataques de injeção e bypass de verificações de segurança. Eles também devem impor atualizações do aplicativo e garantir que o app execute em plataformas atualizadas para proteger os usuários de vulnerabilidades conhecidas.
| ID | statement |
|---|---|
| MASVS-CODE-1 | The app requires an up-to-date platform version. |
| MASVS-CODE-2 | The app has a mechanism for enforcing app updates. |
| MASVS-CODE-3 | The app only uses software components without known vulnerabilities. |
| MASVS-CODE-4 | The app validates and sanitizes all untrusted inputs. |