Lançamento do MASVS v2.1.0 & MASVS-PRIVACY
Estamos empolgados em anunciar o lançamento da nova versão do OWASP Mobile Application Security Verification Standard (MASVS) v2.1.0, incluindo a nova categoria MASVS-PRIVACY e suporte a CycloneDX.
MASVS-PRIVACY¶
Após coletar e processar todos os feedbacks da Proposta MASVS-PRIVACY, estamos lançando a nova categoria MASVS-PRIVACY.
O principal objetivo do MASVS-PRIVACY é fornecer uma base para a privacidade do usuário. Ele não pretende cobrir todos os aspectos da privacidade do usuário, especialmente quando outros padrões e regulamentações, como a ENISA ou o GDPR, já fazem isso. Nós nos concentramos no aplicativo em si, observando o que pode ser testado usando informações publicamente disponíveis ou encontradas dentro do aplicativo por meio de métodos como análise estática ou dinâmica.
Embora alguns testes associados possam ser automatizados, outros exigem intervenção manual devido à natureza complexa da privacidade. Por exemplo, se um aplicativo coleta dados que não foram mencionados na loja de aplicativos ou em sua política de privacidade, é necessário uma verificação manual cuidadosa para detectar isso.
Os novos controles são:
- MASVS-PRIVACY-1: O aplicativo minimiza o acesso a dados e recursos sensíveis.
- MASVS-PRIVACY-2: O aplicativo impede a identificação do usuário.
- MASVS-PRIVACY-3: O aplicativo é transparente sobre a coleta e o uso de dados.
- MASVS-PRIVACY-4: O aplicativo oferece controle ao usuário sobre seus dados.
Suporte a CycloneDX¶
O MASVS agora está disponível no formato CycloneDX (OWASP_MASVS.cdx.json), um padrão amplamente adotado para lista de materiais de software (SBOM). Este formato permite uma integração e automação mais fácil dentro dos pipelines de DevOps, melhorando a visibilidade e o gerenciamento da segurança de aplicativos móveis. Ao usar o CycloneDX, desenvolvedores e equipes de segurança podem avaliar, rastrear e cumprir os requisitos do MASVS com mais eficiência, resultando em aplicativos móveis mais seguros.