MASVS که مخفف Mobile Application Security Verification Standard میباشد، توسط کامیونیتی امنیتی OWASP توسعه داده شده است که حاوی یکسری به اصطلاح Best Practice برای معماران، توسعهدهندگان، برنامهنویسان و متخصصان تست نرمافزارهای موبایل است که در آن مجموعهای از معیارهای امنیت اپلیکیشنهای موبایل عرضه شده است.
موارد استفاده از MASVS چیست و برای چه افرادی کاربرد دارد؟
معماران نرمافزار از این استاندارد در چرخهٔ SDLC برای مطرح کردن نیازهای امنیتی و پیروی از راهکارهای معماری امن استفاده میکنند (SDLC مخفف واژگان Software Development Life Cycle است که برای کسب اطلاعات بیشتر، میتوانید به مَدخل SDLC در ویکیپدیا مراجعه نمایید.)
متخصصان تست نفوذ در اپلیکیشنهای موبایل نیز برای جمعبندی کارشان و اینکه مطمئن شوند تا تمامی جوانب را بررسی کردهاند، از استاندارد MASVS بهره برده و همچنین مدیران فنی نیز میتوانند از آن برای تهیه لیستی از سؤالات به منظور آزمودن سطح امنیت اپلیکیشنهایی که قصد خرید آن را برای سازمان خود دارند، استفاده نمایند.
MASVS در واقع خواهرخواندهٔ پروژهای دیگر به نام Mobile Security Testing Guide یا به اختصار MSTG محسوب میشود که برای کسب اطلاعات بیشتر، میتوانید به مقالهٔ MSTG: دفترچهٔ راهنمای جامع برای امنیت اپلیکیشنهای موبایل مراجعه نمایید. به طور کلی استاندارد امنیتی MASVS شامل موضوعات زیر میباشد:
V1: Architecture, Design & Threat Modeling Requirements
V2: Data Storage & Privacy Requirements
V3: Cryptography Requirements
V4: Authentication & Session Management Requirements
V5: Network Communication Requirements
V6: Environmental Interaction Requirements
V7: Code Quality & Build Setting Requirements
V8: Resiliency Against Reverse Engineering Requirements
اگر جزو دولوپرهای موبایل هستید، از چه استانداردهایی به منظور اطمینان حاصل کردن از امنیت اپلیکیشنهای خود بهره میبرید؟ نظرات، دیدگاهها و تجربیات خود را با دیگر کاربران سکان آکادمی به اشتراک بگذارید.