5 cosas nuevas que debe saber sobre la seguridad de aplicaciones móviles de OWASP

Una comunidad de expertos en seguridad de la industria colabora para producir los estándares globales más utilizados para la seguridad de aplicaciones móviles, el Proyecto de seguridad de aplicaciones móviles (MAS) de OWASP. OWASP MAS permite que los equipos de desarrollo y seguridad móvil se muevan más rápido e identifiquen y solucionen los problemas más graves en sus aplicaciones móviles.

“Con la refactorización de MASVS y MASTG, estamos construyendo la próxima generación de estándares y documentación para ayudar a los arquitectos de seguridad, desarrolladores y analistas de seguridad a hacer su trabajo de manera más eficiente”, dice Carlos Holguera, colíder de OWASP MAS y NowSecure Mobile Security. Ingeniero de investigación.

Con la refactorización de MASVS y MASTG, estamos creando la próxima generación de estándares y documentación para ayudar a los arquitectos, desarrolladores y analistas de seguridad a hacer su trabajo de manera más eficiente.
– Carlos Holguera, co-líder de OWASP MAS e ingeniero de investigación de seguridad móvil de NowSecure

Las prácticas basadas en estándares establecen un consenso entre la seguridad, los desarrolladores y las partes interesadas del negocio sobre los riesgos que deben abordarse como parte del proceso de lanzamiento de la aplicación móvil. NowSecure construyó sus pruebas de seguridad de aplicaciones móviles automatizadas basadas en estándares. NowSecure Platform automatiza las pruebas de MASVS para que las organizaciones puedan encontrar y solucionar problemas de seguridad y privacidad en sus aplicaciones móviles. NowSecure también ofrece servicios completos de pruebas de penetración móvil para OWASP MAS.

Lo que sigue son cinco desarrollos actuales que los profesionales y desarrolladores de AppSec móvil deben conocer sobre OWASP MAS:

  1. OWASP cambió el nombre del proyecto de OWASP Mobile Security Project a OWASP Mobile Application Security en 2022. El nuevo nombre refleja el enfoque del proyecto, la seguridad de aplicaciones móviles. Como parte del cambio, el proyecto OWASP lanzó un nuevo sitio web y adoptó un nuevo identificador de Twitter, OWASP_MAS. sigue la cuenta para actualizaciones de proyectos y recursos.
  1. Importante refactorización de la Estándares de verificación de seguridad de aplicaciones móviles de OWASP (MASVS) está en marcha para simplificar y agilizar los requisitos para crear aplicaciones móviles seguras. Esperamos ver el lanzamiento de MASVS v2.0 en enero de 2023 con los siguientes cambios incluidos:
  • Condensación de MAVS-STORAGE y traslado de requisitos relevantes a MASVS-PLATFORM
  • Simplificación de MASVS-CRYPTO y alineación con los estándares NIST NIST.SP.800-175B y NIST.SP.800-57p1
  • Separación de la autenticación del lado del cliente y del lado del servidor en MASVS-AUTH con confianza en el Estándar de verificación de seguridad de aplicaciones (ASVS) de OWASP
  • Eliminación de MASVS-ARCH a favor del uso de los estándares NIST.SP.800.218 y OWASP Software Assurance Maturity Model (SAMM)
  • Transición de requisitos antiguos seleccionados a casos de prueba
  • Concéntrese en mejorar la automatización y permitir el cumplimiento como código
  1. 2023 traerá un trabajo intensivo para refactorizar el Guía de prueba de seguridad de aplicaciones móviles de OWASP (MASTG) manual para pruebas de seguridad de aplicaciones móviles que los analistas de seguridad profesionales utilizan ampliamente para verificar los controles de MASVS. El proyecto de refactorización alineará los casos de prueba de MASTG con los nuevos controles MASVS v2.0 y creará lo que el proyecto MAS llama «pruebas atómicas». La comunidad MAS colaborará para tomar los grandes casos de prueba actuales de MASTG y dividirlos en partes más pequeñas y manejables. Esto proporcionará una visión más detallada y completa de las pruebas de MASVS respaldadas por MASTG.
  1. OWASP MAS relanzó recientemente la Crackmes MAS como parte de su nuevo sitio web. Puede encontrar esta colección de desafíos de ingeniería inversa móvil para Android e iOS en OWASP MASTG y también puede resolverlos por diversión. NowSecure contribuyó con el «Android UnCrackable L4», un crackme difícil que requiere conocimientos avanzados para descifrar la criptografía de caja blanca incluida y eludir los mecanismos de protección anti-root, anti-Frida y otros. Ofrece un gran lugar para practicar el MASTG.
  1. NowSecure ha apoyado a la comunidad OWASP MAS durante siete años y ayuda a avanzar las iniciativas de varias maneras.
  • El investigador de NowSecure Mobile Carlos Holguera lidera OWASP MAS junto con el co-líder Sven Schleier.
  • NowSecure es honrado como un Defensor del MAS, el estatus más alto que pueden alcanzar los contribuyentes de la industria. Los defensores deben invertir un volumen significativo de recursos mostrando adopción, brindando contribuciones consistentes de alto impacto y difundiendo la palabra.
  • NowSecure patrocina financieramente el proyecto como Donante Modo Dios.

Escuche sobre el trabajo en curso de MAS directamente de los co-líderes. Regístrese para ver una repetición de su reciente sesión de conferencia NowSecure Connect, «Inside the OWASP MASVS Refactor v2.0» y obtenga acceso a los otros grabaciones. También puedes encontrar educación gratuita en el Academia NowSecureActualizaciones de OWASP MASVS y MASTG” junto con mucha más seguridad de aplicaciones móviles y capacitación en desarrollo móvil seguro.

Únase a NowSecure esta semana en el Conferencia global AppSec de OWASP 2022 esta semana en San Francisco y reservar una reunión con un miembro de nuestro equipo.



Fuente del artículo

Deja un comentario