OWASP MASVS
OWASP MASVS 是什么?
OWASP MASVSOWASP 移动应用安全验证标准,为 iOS 与 Android 移动应用提供可测试的安全需求基线。
OWASP 移动应用安全验证标准(MASVS)是 ASVS 的移动端对应标准。它为原生与混合移动应用定义安全与隐私需求,涵盖存储、加密、身份认证与会话管理、网络通信、平台交互、代码质量、抗逆向能力以及隐私等控制项。最新的 MASVS v2 模型采用配置文件:MASVS-L1 基线、MASVS-L2 纵深防御、MASVS-R 面向需要抗逆向的应用。它与 MASTG(移动应用安全测试指南)和 MAS Checklist 配合使用,可用于应用商店审查、银行与医疗监管以及漏洞奖励项目。
● 示例
- 01
银行 App 团队按照 MASVS-L2 调整开发待办事项,以满足某国监管要求。
- 02
移动端渗透测试以 MASTG 为依据,使用 MASVS v2 的控制 ID 汇报发现。
● 常见问题
OWASP MASVS 是什么?
OWASP 移动应用安全验证标准,为 iOS 与 Android 移动应用提供可测试的安全需求基线。 它属于网络安全的 合规与框架 分类。
OWASP MASVS 是什么意思?
OWASP 移动应用安全验证标准,为 iOS 与 Android 移动应用提供可测试的安全需求基线。
OWASP MASVS 是如何工作的?
OWASP 移动应用安全验证标准(MASVS)是 ASVS 的移动端对应标准。它为原生与混合移动应用定义安全与隐私需求,涵盖存储、加密、身份认证与会话管理、网络通信、平台交互、代码质量、抗逆向能力以及隐私等控制项。最新的 MASVS v2 模型采用配置文件:MASVS-L1 基线、MASVS-L2 纵深防御、MASVS-R 面向需要抗逆向的应用。它与 MASTG(移动应用安全测试指南)和 MAS Checklist 配合使用,可用于应用商店审查、银行与医疗监管以及漏洞奖励项目。
如何防御 OWASP MASVS?
针对 OWASP MASVS 的防御通常结合技术控制与运营实践,详见上方完整定义。
OWASP MASVS 还有哪些其他名称?
常见的别称包括: 移动应用安全验证标准, MASVS。
● 相关术语
- compliance№ 775
OWASP ASVS
OWASP 应用安全验证标准,提供一套可测试的安全需求清单,用于设计、构建并验证 Web 应用与 API。
- compliance№ 779
OWASP 移动 Top 10
OWASP 发布的意识文档,列出 iOS、Android 等平台移动应用最关键的安全风险。
- compliance№ 782
OWASP WSTG
OWASP Web 安全测试指南,内容详尽的开源手册,描述如何针对最常见的 Web 应用安全弱点进行测试。
- appsec№ 982
安全编码
在编写源代码时遵循防御性模式、语言特定规则与公认指南,以最大程度减少安全缺陷的实践。
- compliance№ 204
合规
通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。