Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonUn guide pratique de l'OWASP MASVS v2.0
Accueil » Calendrier éditorial » Sécurité des API » Un guide pratique d'OWASP MASVS v2.0 – Son évolution et sa mise en œuvre
L'OWASP (Open Worldwide Application Security Project) MASVS (Mobile Application Security Verification Standard) est une ressource précieuse pour les développeurs d'applications mobiles cherchant à améliorer la sécurité de leurs applications iOS et Android. La norme est basée sur les connaissances collectives d'experts en sécurité du monde entier et fournit à la fois une base de référence et une référence pour les exigences de sécurité des applications mobiles.
Il existe 3 documents clés téléchargeables sur le site de l'OWASP :
L'équipe indique clairement que les documents MASVS peuvent être mis à jour à tout moment, et il y a eu une refactorisation majeure des recommandations qui a abouti à la V2.0.0 de MASVS qui a été publiée au printemps 2023.
MASVS a continué d'évoluer depuis que l'OWASP a reconnu pour la première fois les défis de sécurité uniques des applications mobiles et a publié le premier OWASP Mobile Top 10 en 2010. Il est devenu beaucoup plus complet dans sa couverture et en même temps a été simplifié et le chevauchement entre les contrôles a été supprimé. Certains contenus axés davantage sur les tests ont été déplacés vers le MASTG en tant que cas de test.
Dans la version précédente de MASVS, trois niveaux étaient définis : L1, L2 et R. L1 était destiné à servir de référence, et L2 définissait des exigences de défense en profondeur pour les "applications traitant des données sensibles". Le niveau R donnait des recommandations détaillées pour se protéger contre les menaces côté client.
Dans le cadre de la refactorisation de MASVS, ces niveaux ont été éliminés de MASVS pour créer un ensemble plus abstrait de contrôles de sécurité. Les niveaux réapparaissent cependant dans le MASTG sous forme de profils pour permettre de prioriser les tests qui correspondent aux contrôles du MASVS. La raison derrière cela est que le même contrôle peut conduire à différents tests, en fonction du niveau (ou du profil) de sécurité dont l'application a besoin. De cette manière, différents tests peuvent être appliqués en fonction du profil de sécurité requis. Pour une catégorie donnée dans MASVS, par exemple, une application financière traitant de données hautement sensibles sera testée au niveau L2, alors qu'une application différente pourrait nécessiter de remplir uniquement des tests de niveau L1 pour la catégorie donnée.
Coïncidant avec la sortie de MASVS 2.0.0, OWASP MAS a relancé MAS Crackmes dans le cadre de son nouveau site Web. Il s'agit d'un ensemble de défis d'ingénierie inverse mobiles Android et iOS.
Le travail de refactorisation de MASTG se poursuit jusqu'en 2023 en mettant l'accent sur l'automatisation et la facilité d'utilisation. Les cas de test MASTG seront alignés sur les nouveaux contrôles MASVS v2.0 et créeront ce que le projet MAS appelle des « tests atomiques ». Les grands cas de test MASTG actuels seront divisés en morceaux plus petits et plus gérables. Cela fournira une vue plus fine et plus complète des tests MASVS pris en charge par le MASTG et facilitera l'application des nouveaux profils (L1, L2, R, etc.) aux tests et mappera les ensembles de tests à des cas d'utilisation d'applications spécifiques. .
De plus, les profils MASTG seront alignés sur la norme OSCAL (Open Security Controls Assessment Language) du NIST (National Institute of Standards and Technology). Cela signifie que MASVS offre une approche plus flexible et plus complète des tests de sécurité et facilite le partage et la réutilisation des contrôles de sécurité entre différentes plates-formes de sécurité et organisations.
Un ensemble de contrôles a été complètement supprimé dans la V2.2.0 de MASVS. En effet, l'équipe a constaté que les directives architecturales et les meilleures pratiques décrites dans MASVS-ARCH étaient bien couvertes dans le NIST.SP.800.218 et dans les normes OWASP Software Assurance Maturity Model (SAMM) et qu'il ne servait à rien de réinventer la roue. Un avantage supplémentaire de ce changement est que tous les contrôles décrits dans MASVS peuvent désormais être testés – ce qui n'était pas le cas avec certaines recommandations de gouvernance et de conception dans MASVS-ARCH.
MASVS 2.0.0 a été simplifié et vise à fournir une vue complète de l'ensemble des contrôles de haut niveau qui doivent être vérifiés pour les applications mobiles. Cela signifie cependant que les développeurs ne peuvent pas utiliser le MASVS 2.0.0 seul. MASVS décrit les surfaces d'attaque mais ne décrit pas comment tester la résilience contre elles.