MASVS: استاندارد امنیتی OWASP برای اپلیکیشن‌های موبایل

MASVS: استاندارد امنیتی OWASP برای اپلیکیشن‌های موبایل

MASVS که مخفف Mobile Application Security Verification Standard می‌باشد، توسط کامیونیتی امنیتی OWASP توسعه داده شده است که حاوی یکسری به اصطلاح Best Practice برای معماران، توسعه‌دهندگان، برنامه‌نویسان و متخصصان تست نرم‌افزار‌های موبایل است که در آن مجموعه‌ای از معیارهای امنیت اپلیکیشن‌های موبایل عرضه شده است.

موارد استفاده از MASVS چیست و برای چه افرادی کاربرد دارد؟
معماران نرم‌افزار از این استاندارد در چرخهٔ SDLC برای مطرح کردن نیازهای امنیتی و پیروی از راه‌کارهای معماری امن استفاده می‌کنند (SDLC مخفف واژگان Software Development Life Cycle است که برای کسب اطلاعات بیشتر، می‌توانید به مَدخل SDLC در ویکیپدیا مراجعه نمایید.)

متخصصان تست نفوذ در اپلیکیشن‌های موبایل نیز برای جمع‌بندی کارشان و اینکه مطمئن شوند تا تمامی جوانب را بررسی کرده‌اند، از استاندارد MASVS بهره برده و همچنین مدیران فنی نیز می‌توانند از آن برای تهیه لیستی از سؤالات به منظور آزمودن سطح امنیت اپلیکیشن‌هایی که قصد خرید آن را برای سازمان خود دارند، استفاده نمایند.

MASVS در واقع خواهرخواندهٔ پروژه‌ای دیگر به نام Mobile Security Testing Guide یا به اختصار MSTG محسوب می‌شود که برای کسب اطلاعات بیشتر، می‌توانید به مقالهٔ MSTG: دفترچهٔ راهنمای جامع برای امنیت اپلیکیشن‌های موبایل مراجعه نمایید. به طور کلی استاندارد امنیتی MASVS شامل موضوعات زیر می‌باشد:

V1: Architecture, Design & Threat Modeling Requirements
V2: Data Storage & Privacy Requirements
V3: Cryptography Requirements
V4: Authentication & Session Management Requirements
V5: Network Communication Requirements
V6: Environmental Interaction Requirements
V7: Code Quality & Build Setting Requirements
V8: Resiliency Against Reverse Engineering Requirements

اگر جزو دولوپرهای موبایل هستید، از چه استانداردهایی به منظور اطمینان حاصل کردن از امنیت اپلیکیشن‌های خود بهره می‌برید؟ نظرات، دیدگاه‌ها و تجربیات خود را با دیگر کاربران سکان آکادمی به اشتراک بگذارید.