• بلاگ
  • (Mobile Application Security Verification Standard(MASVS

(Mobile Application Security Verification Standard(MASVS

نویسنده: مژگان عقیلی - تاریخ انتشار: ۱۴۰۱/۱۱/۱۶

V1: Architecture, Design & Threat Modeling Requirements
V2: Data Storage & Privacy Requirements
V3: Cryptography Requirements
V4: Authentication & Session Management Requirements
V5: Network Communication Requirements
V6: Environmental Interaction Requirements
V7: Code Quality & Build Setting Requirements
V8: Resiliency Against Reverse Engineering Requirements

-----------------------------------------------------------------------------------------------------------

: V1معماری، طراحی و الزامات مدل سازی تهدید

این دسته به معماری و طراحی اپلیکیشن می پردازد. برنامه های کاربردی تلفن همراه که به عنوان مشتریان سرویس های راه دور خدمت می کنند باید اطمینان حاصل کنند که استانداردهای امنیتی برای چنین سرویس های راه دور نیز اعمال می شود. این امر مستلزم آن است که برنامه‌ها فرآیندهای کافی برای رفع نگرانی‌های امنیتی از زمان طراحی معماری برنامه داشته باشند.

V2: ذخیره سازی داده ها و حریم خصوصی

این دسته از MASVS الزامات تأیید امنیتی برای محافظت از داده های حساس در برنامه ها را پوشش می دهد. داده های حساس شامل اطلاعات قابل شناسایی شخصی (PII) مانند شماره حساب بانکی، شماره کارت اعتباری و اطلاعات سلامتی است. همچنین شامل اطلاعات قراردادی و داده های محافظت شده از انطباق است. این کنترل‌ها به همه چیز می‌پردازند، از جلوگیری از افشای ناخواسته داده‌های حساس به برنامه‌های دیگر تا نشت تصادفی اطلاعات به پشتیبان‌گیری، فضای ذخیره‌سازی ابری و حافظه پنهان صفحه‌کلید.

V3: تأیید رمزنگاری

هدف از کنترل‌های امنیتی فهرست‌شده در این بخش، راهنمایی توسعه‌دهندگان برنامه با بهترین شیوه‌ها برای استفاده از رمزنگاری است. این فصل بر تشویق کتابخانه های رمزنگاری اثبات شده، مولدهای اعداد تصادفی و پیکربندی رمزنگاری های اولیه متمرکز است.

V4: احراز هویت و الزامات مدیریت جلسه

ورود به یک سرویس از راه دور بخش مهمی از معماری برنامه های تلفن همراه است و MASVS V4 الزامات اساسی برای مدیریت حساب های کاربری و جلسات را بیان می کند. تأیید این الزامات نیازی به دسترسی به کد منبع پایانی سرویس ندارد.

V5: الزامات ارتباط شبکه

این فصل بر اهمیت حفاظت از یکپارچگی و محرمانه بودن اطلاعات منتقل شده بین برنامه تلفن همراه و نقاط پایانی سرویس از راه دور تأکید می کند. برای برنامه تلفن همراه داشتن یک کانال رمزگذاری شده با پروتکل TLS برای ارتباط شبکه مهم است. اقدامات دفاعی عمیق مانند پین کردن SSL برای سطح 2 و بالاتر توصیه می شود.

V6: الزامات تعامل محیطی

این بخش به مؤلفه‌های استاندارد و APIهای پلتفرم مورد استفاده توسط برنامه و همچنین استانداردهای امنیتی برای ارتباط بین فرآیندی می‌پردازد.

V7: کیفیت کد و الزامات تنظیم ساخت

کنترل‌های امنیتی تحت پوشش این بخش با شیوه‌های کدگذاری امنیتی که در طول توسعه برنامه اجرا می‌شوند، سروکار دارند. همچنین نیاز به فعال کردن ویژگی های امنیتی از کامپایلر را برجسته می کند. این بخش شامل همه چیز می شود، از اطمینان از امضای برنامه با یک گواهی معتبر گرفته تا تاکید بر نیاز به منطق رسیدگی به خطا که به طور پیش فرض دسترسی را رد می کند.

V8: انعطاف پذیری در برابر الزامات مهندسی معکوس

بخش آخر در مورد اجرای اقدامات حفاظتی کافی است که مهندسی معکوس برنامه را برای هکرها دشوار می کند. کنترل های ذکر شده در این بخش باید پس از ارزیابی الزامات امنیتی برنامه مورد نظر اعمال شوند زیرا درجه خطر ناشی از مهندسی معکوس از برنامه ای به برنامه دیگر متفاوت است. هدف از این کنترل ها تقویت امنیت برنامه است. با پیاده سازی نکردن این کنترل ها، برنامه هیچ آسیب پذیری ایجاد نمی کند.

 

دسته بندی ها:

مطالب اخیر: