Skip to content

2025

  • 4 min read

Guardsquare Atinge o Status de MAS Advocate

Estamos muito felizes em anunciar que a Guardsquare foi oficialmente reconhecida com o status de MAS Advocate, o mais alto reconhecimento possível dentro do projeto OWASP Mobile Application Security (MAS).

Esse status não é concedido levianamente. Ele é reservado para organizações que demonstraram contribuições consistentes e de alto impacto durante um período sustentado, dedicando não apenas recursos técnicos, mas um comprometimento genuíno e paixão pelo projeto OWASP MAS, indo além de contribuições eventuais, conforme estabelecido em nossas diretrizes oficiais. O caminho para se tornar um MAS Advocate exige pelo menos seis meses de apoio comprovado e impactante e, na prática, muitas vezes leva muito mais tempo, dependendo do escopo e da profundidade das contribuições.

O Comprometimento da Guardsquare

Desde sua candidatura em 7 de fevereiro de 2023, a Guardsquare tem atendido cada vez mais às nossas expectativas e, em muitas ocasiões, as superou. Embora o processo de MAS Advocate exija um mínimo de seis meses de engajamento consistente, sua jornada se estendeu muito além disso, refletindo a profundidade, consistência e impacto de suas contribuições.

Alguns destaques do envolvimento da Guardsquare incluem:

  • Participação ativa no MAS Task Force: A Guardsquare tem sido uma presença constante em nossas reuniões mensais, trazendo ideias, fazendo perguntas e impulsionando proativamente iniciativas centrais.
  • Contribuições consistentes e de alto valor: Incluindo inúmeros pull requests, muitos focados na migração de testes da v1 para a v2, sempre com demonstrações completas e documentação.
  • Revisões por pares e liderança intelectual: Fornecendo feedback detalhado e acionável em pull requests e issues, ajudando a manter a qualidade e a integridade do MASTG e da ambiciosa refatoração para a v2.

Seu envolvimento culminou em um grande marco durante a OWASP Project Summit em novembro de 2024. Esse evento de cinco dias reuniu especialistas em segurança móvel de todo o mundo. Entre os cerca de 40 pull requests criados durante a summit, a maioria foi contribuída pela equipe da Guardsquare: Dennis Titze, Jan Seredynski, Nuno Antunes e Pascal Jungblut.

Por Que Eles Se Comprometeram e Por Que Isso Importa

Perguntamos à equipe da Guardsquare por que decidiram se comprometer com o OWASP MAS. Aqui está o que eles disseram:

"Reconhecemos que os padrões típicos de segurança de aplicações carecem da precisão e nuance relevantes para as arquiteturas de aplicações móveis. Sentimos que o projeto OWASP MAS estava indo na direção certa ao fornecer orientações muito mais específicas e acionáveis para equipes de desenvolvimento móvel sobre como proteger suas aplicações." — Ryan Lloyd

Uma Situação Ganha-Ganha

Suas contribuições não apenas beneficiaram o projeto OWASP MAS e sua comunidade, mas também tiveram um impacto direto na própria equipe e ofertas da Guardsquare:

"Nossa participação aumentou a conscientização sobre segurança de aplicativos móveis, algo que ainda é frequentemente deixado como segundo plano. Por meio de uma abordagem baseada em padrões, estamos ajudando a trazer tópicos vitais de segurança para o centro das atenções, o que, por sua vez, gera mais interesse em nossas soluções." — Ryan Lloyd

Além dos benefícios organizacionais, a participação no MAS tem sido uma experiência gratificante para os contribuidores individuais:

"Este projeto realmente expandiu minha perspectiva sobre segurança. Eu costumava me concentrar principalmente em engenharia reversa e resiliência, mas esse esforço me levou a novas áreas, como a categoria MASVS-STORAGE, que aprofundou minha compreensão de como os aplicativos móveis lidam com dados sensíveis." — Jan Seredynski

"O projeto me deu a oportunidade de me conectar com pessoas de diversas origens, gerando conversas dinâmicas sobre práticas seguras de implementação. Tem sido muito gratificante ver os padrões evoluírem como resultado dessas colaborações." — Dennis Titze

Um Modelo a Ser Seguido por Outros

A jornada da Guardsquare é um modelo de como as empresas podem se envolver de forma significativa com padrões abertos de segurança. Seu comprometimento, que continua em 2025 e além, estabelece um exemplo poderoso.

"O cenário de segurança de aplicativos móveis se beneficia enormemente de perspectivas diversas. Ao expandir a base de contribuição, podemos oferecer mais profundidade e amplitude nos recursos que fornecemos à comunidade e alcançar nosso objetivo de uma refatoração completa do MASVS/MASTG mais rapidamente." — Ryan Lloyd

Esperamos que outros sigam seu exemplo. Sua história mostra o que é possível quando uma empresa dedica tempo, talento e coração para melhorar o estado da segurança de aplicações móveis.

Pronto para Participar?

Se sua organização é apaixonada por segurança móvel e está pronta para causar um impacto real, considere participar do MAS Task Force. Seja contribuindo com testes, revisando PRs ou ajudando a moldar a próxima geração de padrões, há um lugar para você.

Você pode ler mais sobre o status de MAS Advocate e nossos outros contribuidores em nosso site.

Parabéns mais uma vez à Guardsquare, estamos orgulhosos de tê-los a bordo como MAS Advocate!

  • 7 min read

Celebrando 3 Anos da NowSecure como OWASP MAS Advocate

Poucas parcerias foram tão impactantes quanto a entre NowSecure e o projeto OWASP Mobile App Security (MAS). Hoje, enquanto celebramos três anos da NowSecure como OWASP MAS Advocate, refletimos sobre uma jornada marcada por inovação, colaboração e melhoria contínua que estabeleceu o modelo para futuras parcerias do setor.

Ser uma Advocate MAS significa fazer contribuições de alto impacto. A NowSecure tem entregado consistentemente, oferecendo tempo dedicado de especialistas-chave, especialmente o líder do projeto Carlos Holguera, e prestando suporte adicional sempre que necessário.

O GitHub conta uma história convincente sobre o envolvimento da NowSecure no projeto OWASP MAS nos últimos três anos:

  • 320+ Pull Requests
  • 230+ Reviews
  • 42.000+ Adições
  • 29.500+ Exclusões

Esses números refletem mais do que apenas atividade, eles demonstram liderança. A NowSecure melhorou significativamente os recursos do OWASP MAS ao contribuir com conteúdo valioso, revisar submissões da comunidade e manter a clareza e qualidade geral do projeto.

Mas vai além dos números. A NowSecure tem sido uma força motriz por trás da evolução do projeto OWASP MAS, fornecendo insights estratégicos, expertise técnica e um compromisso com a excelência que moldou nossa direção e impacto. Abaixo, revisitamos os marcos e contribuições principais dos últimos anos, uma linha do tempo que destaca o valioso papel que a NowSecure desempenhou em cada etapa da evolução do projeto MAS.

Rebranding de MSTG para OWASP MAS

Em agosto de 2022, anunciamos uma reformulação da marca do projeto, anteriormente conhecido como "OWASP Mobile Security Testing Guide (MSTG)". A nova identidade, OWASP Mobile App Security (MAS), reflete melhor o escopo completo do nosso projeto, desde o MAS Verification Standard (MASVS) e o MAS Testing Guide (MASTG) até listas de verificação e crackmes. E posteriormente, o Mobile App Security Weakness Enumeration (MASWE).

NowSecure forneceu insight estratégico e perspectiva do setor que ajudou a esclarecer o escopo e a mensagem do projeto. Seu feedback inicial garantiu que a nova marca não apenas ressoasse com a comunidade, mas também estabelecesse uma direção clara para futuras melhorias.

Lançamento do MASVS v2.0.0

Abril de 2023 viu o lançamento do MASVS v2.0.0, um grande marco que redefiniu os padrões de segurança de aplicativos móveis. Esta versão introduziu melhorias cruciais:

  • Abstração e Simplificação: Controles redundantes foram removidos, tornando o MASVS mais acessível para desenvolvedores.
  • Clareza através da Padronização: Aproveitar e referenciar padrões bem estabelecidos garantiu que nossos controles fossem claros e acionáveis.
  • Introdução dos Perfis de Teste MAS: A transição dos "níveis" anteriores para novos "perfis" permitiu avaliações mais personalizadas em cenários do mundo real.

A expertise técnica e o feedback contínuo da NowSecure durante o processo de desenvolvimento foram fundamentais. Seus cenários de teste do mundo real e a revisão rigorosa das mudanças propostas ajudaram a moldar um padrão que atende verdadeiramente às necessidades dos profissionais modernos de segurança de aplicativos móveis.

Refatoração do MASTG Parte 1: Perfis de Teste e Testes Atômicos

Em julho de 2023, anunciamos a primeira fase da refatoração do MASTG, incluindo:

  • Novos Perfis de Teste MAS: Substituindo os níveis de verificação tradicionais por "perfis" respaldados por cenários do mundo real. Essa mudança permite avaliações mais personalizadas, facilitando a compreensão do contexto e da aplicabilidade de cada teste.
  • Testes Atômicos: Dividir testes grandes em unidades menores e autônomas reduziu ambiguidades e melhorou a rastreabilidade.

Durante esse processo, as revisões técnicas detalhadas e os testes piloto da NowSecure foram inestimáveis. Sua disposição para experimentar versões iniciais dos testes refatorados garantiu que a nova estrutura fosse robusta e prática para aplicação no mundo real, aprimorando, em última análise, a qualidade e a consistência geral do MASTG.

Refatoração do MASTG Parte 2 - Modularizando a Estrutura

Posteriormente, em setembro de 2023, anunciamos a segunda fase da refatoração do MASTG, focando em uma abordagem modular:

  • O guia foi reorganizado em componentes distintos — Testes, Técnicas, Ferramentas e Aplicativos — facilitando a localização e referência de conteúdo específico.
  • Essa modularidade melhora a referência cruzada e a capacidade de manutenção da estrutura geral.

A NowSecure forneceu feedback crítico sobre o processo de modularização e realizou a implementação da nova estrutura. Seus insights sobre como os profissionais de segurança interagem com o MASTG ajudaram a moldar um recurso mais amigável e eficiente.

Introdução do MASVS-PRIVACY

Outubro de 2023 marcou uma expansão significativa em nosso escopo com a introdução do MASVS-PRIVACY como proposta, que posteriormente foi incluída no lançamento do MASVS v2.1.0 em janeiro de 2024 após uma revisão minuciosa pela comunidade e pelo setor.

A liderança da NowSecure em questões de segurança e privacidade móvel foi uma força motriz por trás dessa adição. Sua postura proativa sobre preocupações de privacidade e experiência prática com desafios de proteção de dados contribuíram para moldar uma base robusta que atende às demandas modernas de privacidade.

Força-Tarefa MAS

Em fevereiro de 2024, lançamos a Força-Tarefa MAS, um grupo focado de especialistas em segurança móvel que se reúnem mensalmente para impulsionar o roteiro do projeto MAS. Seus esforços incluem gerenciar issues no GitHub, refinar novos perfis e riscos MAS, atribuir tarefas e desenvolver trechos de código vulneráveis para Android e iOS. Atualmente, o grupo está focado em portar testes V1 para V2 em preparação para o MASTG V2.

O apoio contínuo da NowSecure desempenha um papel fundamental para tornar esta iniciativa possível. Ao permitir que Carlos Holguera dedique tempo e expertise para liderar o esforço, a força-tarefa manteve um forte momentum. Com uma combinação de profundidade técnica e direção estratégica, Carlos ajudou o grupo a priorizar efetivamente e impulsionar o projeto MAS com consistência e clareza.

Novos Aplicativos de Teste MAS e Demonstrações Padronizadas

Em maio de 2024, lançamos novos Aplicativos de Teste MAS para Android e iOS, projetados para facilitar o aprendizado e teste práticos. Esses aplicativos incluem:

  • Aplicativos Esqueleto (Skeleton Applications): Estruturas básicas para Android e iOS, permitindo que os usuários explorem e validem cenários de segurança.
  • Amostras de Código (Code Samples): Incorporadas nos aplicativos, estas amostras demonstram melhores (e piores) práticas e armadilhas comuns na segurança de aplicativos móveis.
  • Automação de Build (Build Automation): Utilizando GitHub Actions, automatizamos o processo de build e integração com o MASTG para estas demonstrações, garantindo que permaneçam atualizadas e funcionais.

A expertise da NowSecure em teste de segurança de aplicativos móveis foi inestimável no desenvolvimento desses aplicativos de teste. Seus insights sobre vulnerabilidades do mundo real e experiência prática com desafios de segurança móvel ajudaram a moldar o design e a funcionalidade dos aplicativos, garantindo que sejam práticos e eficazes para os usuários.

Introdução do OWASP MASWE

Julho de 2024 viu a introdução do Mobile App Security Weakness Enumeration (MASWE):

  • O MASWE preenche a lacuna entre os controles de alto nível do MASVS e os testes detalhados do MASTG.
  • Ele oferece uma visão granular de fraquezas específicas, melhorando a rastreabilidade desde os requisitos até os casos de teste individuais.

A revisão abrangente e o feedback detalhado da NowSecure sobre os rascunhos iniciais do MASWE foram críticos. Sua capacidade de identificar vulnerabilidades do mundo real e sugerir melhorias acionáveis ajudou a moldar o MASWE em uma ferramenta que complementa tanto o MASVS quanto o MASTG, garantindo que nossa estrutura permaneça holística e responsiva a ameaças emergentes.

OWASP Project Summit 2024

Em novembro de 2024, sediamos o OWASP Project Summit, onde a NowSecure liderou a trilha de segurança de aplicativos móveis. Este evento de cinco dias reuniu especialistas de várias empresas para discutir o futuro da segurança móvel, compartilhar insights e colaborar em soluções inovadoras. Durante a summit, cerca de 40 pull requests foram criados e inúmeras discussões foram realizadas.

A NowSecure desempenhou um papel fundamental ao revisar as contribuições e conduzir discussões técnicas, garantindo que as ideias geradas fossem acionáveis e alinhadas com os objetivos do projeto. Sob a liderança de Carlos Holguera, que ajudou a organizar e guiar a trilha, a NowSecure fomentou um ambiente de colaboração e compartilhamento de conhecimento — estabelecendo um alto padrão para futuros eventos da OWASP.

Olhando para o Futuro

Enquanto celebramos esta parceria de três anos, estamos animados com o que está por vir. Estas contribuições não são apenas marcos, são blocos de construção para o futuro. Graças ao incrível apoio da comunidade, à advocacia contínua e à paixão de organizações como a NowSecure, os próximos capítulos do projeto MAS prometem ainda mais inovação e impacto nos anos vindouros.

Convidamos você a se juntar a nós nesta jornada, compartilhar seus insights e contribuir para moldar o futuro da segurança móvel.

Obrigado, NowSecure, por ser um farol de excelência e um parceiro confiável em nossa missão de proteger aplicativos móveis em todo o mundo.