Skip to content

Lançamento do MASVS v2.0.0

Temos o prazer de anunciar o lançamento da nova versão do OWASP Mobile Application Security Verification Standard (MASVS) v2.0.0. Com esta atualização, estabelecemos vários objetivos principais para garantir que o MASVS permaneça um padrão líder da indústria em segurança de aplicações móveis.

  • Manter a Abstração: trabalhamos arduamente para manter o nível de abstração que tornou o MASVS tão valioso no passado. Deixamos os detalhes para o MASTG.
  • Simplificar: simplificamos o MASVS removendo redundâncias e sobreposições nos controles de segurança. Isso facilitará a compreensão do padrão e sua implementação efetiva em projetos próprios.
  • Trazer Clareza: nos esforçamos para usar terminologia padrão sempre que possível, baseando-nos em fontes estabelecidas como NIST-SP 800-175B e NIST OSCAL, bem como em fontes conhecidas e utilizadas como CWEs, Android Developer Docs e Apple Docs.
  • Reduzir o Escopo: reduzimos o escopo do MASVS para depender mais fortemente de outros padrões da indústria, como OWASP ASVS, OWASP SAMM e NIST.SP.800-218 SSDF v1.1. Isso garantirá que o MASVS permaneça relevante e atualizado no cenário em rápida evolução da segurança de aplicações móveis.

Acreditamos que essas mudanças tornarão o OWASP MASVS v2.0.0 um recurso ainda mais valioso para desenvolvedores e profissionais de segurança, e estamos animados para ver como a indústria adotará estas atualizações.

O MASVS v2.0.0 foi apresentado na OWASP AppSec Dublin 2023, e você pode assistir à apresentação ▶️ aqui.

Por que não há níveis nos novos controles do MASVS?

Os Níveis que você já conhece (L1, L2 e R) serão totalmente revisados e respaldados por um modelo de ameaças corrigido e bem documentado.

Entram em cena os Perfis MAS: Estamos movendo os níveis para os testes do MASTG para que possamos avaliar diferentes situações para o mesmo controle (por exemplo, em MASVS-STORAGE-1, é aceitável armazenar dados não criptografados no armazenamento interno do aplicativo para L1, mas o L2 exige criptografia de dados). Isso pode levar a testes diferentes dependendo do perfil de segurança da aplicação.

Fase de Transição

O MASTG, em sua versão atual v1.5.0, ainda suporta o MASVS v1.5.0. Trazer o MASTG para a v2.0.0 para ser totalmente compatível com o MASVS v2.0.0 levará algum tempo. Por isso, precisamos introduzir uma "fase de transição". Atualmente, estamos mapeando todos os novos casos de teste propostos para os novos perfis (pelo menos L1 e L2), para que, mesmo que a refatoração do MASTG não esteja completa, você saiba o que testar e poderá encontrar a maioria dos testes já no MASTG.

  • Mapear os testes atuais do MASTG para o novo MASVS v2.0.0.
  • Atribuir perfis aos testes atômicos propostos do MASTG (pelo menos L1, L2 e R).

Agradecimentos Especiais

Agradecemos a todos que participaram da Refatoração do MASVS. Você pode acessar todas as Discussões e documentos da refatoração aqui.

Você notará que temos um novo autor no MASVS: Jeroen Beckers

Jeroen é líder em segurança móvel, responsável pela garantia de qualidade em projetos de segurança móvel e por P&D em tudo relacionado a mobile. Desde sua tese de mestrado sobre segurança Android, Jeroen tem se interessado por dispositivos móveis e sua (in)segurança. Ele adora compartilhar seu conhecimento com outras pessoas, como demonstrado por suas várias palestras e treinamentos em faculdades, universidades, clientes e conferências.

💙 Agradecimentos especiais ao nosso MAS Advocate, NowSecure, que mais uma vez demonstrou seu compromisso com o projeto ao apoiá-lo continuamente com tempo/recursos dedicados, além de contribuições com feedback, dados e conteúdo.

Nota: Textos presentes em imagens permanecem no idioma original.