Jak sprawdzić bezpieczeństwo aplikacji mobilnej? OWASP MASVS 1.0

Właśnie udostępniono wersję 1.0 projektu OWASP Mobile Application Security Verification Standard. Zasadnicza część dokumentu to checklista, podzielona na takie obszary jak: architektura, składowanie danych, komunikacja sieciowa czy kryptografia – mamy w sumie aż 8 takich obszarów.

W każdym z obszarów znajdziecie z kolei serię pytań kontrolnych typu: czy aplikacja zapisuje wrażliwe dane do logów, czy aplikacja używa tego samego klucza kryptograficznego do wielu różnych celów, czy aplikacja używa rzeczywiście minimalnego zestawu uprawnień wymaganych do jej prawidłowego działania, czy aplikacja w sposób bezpieczny deserializuje dane, itp.

Jeśli nie chcę sprawdzać wszystkich rzeczy – mogę ograniczyć się do poziomu 1 – wszystkie z kolei sprawdzenia znajdziemy w poziomie 2.

Sam projekt to oczywiście nawiązanie do jednego z flagowych „produktów” OWASP czyli dokumentu OWASP ASVS, traktującego o bezpieczeństwie aplikacji webowych.

–ms