OWASP MAS projesi mobil uygulama güvenliğinde öncülük etmeye devam ediyor. Bu makalede, hem geliştiriciler hem de güvenlik profesyonelleri için mobil uygulama güvenliği rehberliği ve araçlar sağlayan OWASP MAS’a yakın zamanda eklenen kaynaklar ve araçlar açıklanmaktadır. Ayrıca, OWASP’nin büyük mobil platform ve cihaz satıcılarının tam desteğini almayı gerçekten hak ettiğini iddia edeceğiz.
OWASP MAS, Ağustos 2024’te yeni araçlar duyurdu.
Geliştiriciler ve kuruluşlar mobil uygulamalar oluşturmaya devam ettikçe ve AB DMA ve İngiltere DMCC gibi düzenlemeler yürürlüğe girdikçe, mobil uygulama güvenliği için en iyi uygulamaların geliştirici topluluğu için yaygın olarak mevcut olmasını sağlamak önemlidir. OWASP MAS, bu topluluk rolünü oynayabilecek bir konumda ve uzun bir kurumsal sponsor listesine sahip. Ancak herkesin katkıda bulunması için bir ihtiyaç var – Apple, Google ve Huawei’nin bu sponsor listesinde olması güzel olurdu, ancak değiller.
OWASP MAS’tan yeni güncellemeler
OWASP, mobil uygulama güvenlik yönergelerini ve araçlarını güncellemeye ve güçlendirmeye devam eder. Konuyla ilgili önceki bloglarımızda belirttiğimiz gibi, Owasp Mas geçen yıl büyük bir güncelleme aldı. Buna ek olarak, 2024’ün başında OWASP Mobile Top Ten de güncellendi.
Momentum, OWASP MAS ekibinin test kılavuzunun ve yeni araçların yeniden tasarımını duyurduğunu açıklayan en son haberlerle devam ediyor.
OWASP MAS, en önemli varlık olan kapsamlı bir araç ve kaynak paketi sunar:
- Korunması gereken kontrolleri veya saldırı yüzeylerini yüksek bir soyutlama düzeyinde tanımlayan doğrulama standardı (MASV’ler)
- Gerçek testler hakkında ayrıntılı bilgi sağlayan iOS ve Android’i derinlemesine inceleyen test kılavuzu (MASTG)
Geçen yılki güncelleme, genel güvenlik kategorilerinin ve kontrollerinin büyük bir sadeleştirilmesini ve açıklanmasını sağlayan yeni MASVS v2.0 belgesinin yayınlanmasını gördü.
Bununla birlikte, bu, üst düzey Masvs kategorileri ile aynı anda güncellenmeyen ve MASV’lerin önceki sürümü etrafında yapılandırılmış ayrıntılı MASTG arasında bir boşluk bıraktı.
Bu, MAS ekibinin MASTG’nin gezinmesi daha kolay olması ve MASVS v2.0 ile daha iyi hizalanması için ele alınması ve kontroller ve spesifik testler arasındaki bağlantıyı netleştirmesi nedeniyle ele alınmıştır.
MASTG, şimdi gezinmeyi kolaylaştıracak şekilde yapılandırılmıştır. Testler, teknikler ve araçlar. Bu yeniden kullanılabilirliği teşvik eder. Örneğin, bir test açabilir ve hangi araç ve tekniklerin kullanıldığını görebilirsiniz ve niyet, bunun da tersine çalışmasıdır, böylece her şey çapraz referanslanır: bir araç veya teknik açabilir ve kullanan tüm testleri görebilirsiniz.
MASTG’ye yeni gösteriler de eklendi: Çalışma kodu örnekleri ve test komut dosyalarını içeren pratik gösteriler.
Buna ek olarak, yüksek seviyeli MASV kontrolleri ve düşük seviyeli MASTG testleri arasındaki boşluğu doldurmak için tasarlanan yeni Mobil Uygulama Güvenliği Zayıflığı numaralandırması (Maswe) adlı yepyeni bir girişim başlatıldı. Maswe, mobil uygulamalarda ortak zayıflık numaralandırmalarına (CWES) benzer şekilde belirli zayıflıkları tanımlar.
Bunların hepsi harika ama yapılması gereken çok iş var. Bu araçlar kesin değildir ve yeni Maswe’de bir dizi boş şablon vardır. Sonuçta bu bir topluluk projesidir, bu yüzden Owasp Mas ekibi, oyunda bir hissesi olan herkesten yardım arıyor: “Ayrıca yeni zayıflıklar, testler, teknikler, araçlar veya demolar oluşturarak projeye katkıda bulunabilirsiniz. Tüm katkıları ve geri bildirimleri memnuniyetle karşılıyoruz ve MAS projesini en iyi hale getirmek için sizinle çalışmayı dört gözle bekliyoruz.”
Bu arada Apple, Google ve Huawei, uygulama güvenliğine özel bir yaklaşım izliyor
OWASP MAS Şampiyonu’nun en iyi uygulama paylaşımı ve işbirliği yaparken, Apple, Google ve Huawei gibi büyük mobil platform sağlayıcıları tescilli güvenlik çözümleri takip ediyor.
Bu yaklaşımlar, önemli dezavantajlarla birlikte gelir:
- Satıcı kilitleme: Geliştiriciler, esnekliği ve taşınabilirliği sınırlayan platforma özgü güvenlik uygulamalarına bağlanır.
- Azaltılmış İnovasyon: Kapalı ekosistemler, fikirlerin çapraz tozlaşmasını engelleyebilir ve güvenlik gelişmelerinin hızını yavaşlatabilir.
- Parçalanma: Platformlar arasındaki farklı güvenlik standartları, birden fazla ekosistemi hedefleyen geliştiriciler için karmaşıklığı artırır.
İleriye doğru yol – owasp mas ile etkileşim kurma zamanı
Mobil uygulama güvenliğini gerçekten ilerletmek için, endüstri açık standartlar ve işbirliği modeline doğru ilerlemelidir. Bu yaklaşım:
- Global Güvenlik Topluluğunun Kolektif Uzmanlığından yararlanın
- Güvenlik uygulamalarındaki parçalanmayı ve karmaşıklığı azaltın
- Sürekli iyileştirme ve yenilik ortamını teşvik edin
OWASP MAS bu rolü oynayacak şekilde iyi bir konumlandırılmıştır ve mobil topluluktaki herkes katkıda bulunmanın bir yolunu bulmalıdır.
Son olarak, Apple, Google ve Huawei’nin ağırlıklarını Owasp Mas’ın arkasına attığını görmek harika olurdu. Katkıda bulunabilecekleri çok şey var ve “duvarlı bahçelerini” savunmaya devam etmek yerine herkes için daha güvenli bir mobil ekosistem şekillendirmede çok önemli bir rol oynayabilirler.
Mobil uygulama güvenliği tescilli ekosistemler içinde silinemeyecek kadar önemlidir. Dijital manzara geliştikçe, işbirliği ve açık standartlar, ortaya çıkan tehditlerin önünde kalmanın ve dünya çapında mobil kullanıcıların güvenliğini sağlamanın anahtarı olacaktır.
Yazar hakkında
George McGregor, Körfez Bölgesi’ndedir ve siber güvenlik, bulut hizmetleri ve iletişim yazılımında geniş bir geçmişe sahiptir. Onay’a katılmadan önce Imperva, Citrix, Juniper Networks ve HP’de liderlik pozisyonlarında bulundu.
George’a çevrimiçi olarak ulaşılabilir [email protected]https://www.linkedin.com/in/gmcgregor/ adresindeki LinkedIn’de veya https://www.approov.io/ adresindeki yaklaşım web sitesi aracılığıyla