m o c . 5 b u (Simplified Chinese Translation) h t i g Version v1.4.2 OWASP Mobile Application Security Verification Standard Version v1.4.2 January 20, 2022 h t i g b u m o c . 5 OWASP Mobile Application Security Verification Standard v1.4.2 目录 前言 5 关于标准 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 致谢 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 赞助商 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 版权和许可 10 移动应用安全验证标准 移动应用安全模型 (Mobile AppSec Model) . . . . . . . . . . . . . . . . . . . . . . . . 10 14 评估与认证 m o c . 5 OWASP 对 MASVS 认证和信任标志的立场 . . . . . . . . . . . . . . . . . . . . . . . . 认证移动应用程序的指南 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 其他用途 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V1：架构，设计和威胁建模要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 安全验证要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V2：数据存储和隐私要求 h t i g b u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 安全验证要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 控制目标 V3：加密要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 安全验证要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 控制目标 14 14 15 16 控制目标 V4：身份验证 和 会话管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 安全验证要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 控制目标 V5：网络通信要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 安全验证要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 控制目标 V6: 平台交互要求 控制目标 7 7 9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 16 17 18 18 18 19 21 21 21 21 23 23 23 24 25 25 25 25 27 27 3 OWASP Mobile Application Security Verification Standard v1.4.2 安全验证要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V7: 代码质量和编译要求 29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 安全验证要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 控制目标 V8: 韧性要求 控制目标 参考文献 27 28 29 29 29 31 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Appendix A: Glossary 31 33 34 m o c . 5 附录 B：参考资料 36 37 更新日志 V1.3 - 13 May 2021 . . . . . . . . . . . . . . . V1.2 - 2020 年 3 月 7 日 - 国际发行 . . . . . . . . V1.2-RC - 2019 年 10 月 5 号 - 预发行版 (仅限英语) V1.1.4 - 2019 年 7 月 4 号 - 峰会版 . . . . . . . . V1.1.3 - 2019 年 1 月 9 号 - 小幅度修正 . . . . . . V1.1.2 - 2019 年 1 月 3 号 - 赞助者与国际翻译版 . V1.1.0 - 2018 年 7 月 14 号 . . . . . . . . . . . V1.0 - 2018 年 1 月 12 号 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . h t i g b u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 37 37 38 38 38 39 39 4 OWASP Mobile Application Security Verification Standard v1.4.2 前言 在现代社会，技术革命无处不在。在不到 10 年前，智能手机是笨重的设备，并且几乎没有键盘。对于 精通技术的用户来说，这样的玩物太昂贵了。今天，智能手机是我们生活中不可或缺的一部分。我们依 赖智能手机获取日常信息、导航定位、沟通交流。它们已经渗透到商业和社交生活中的每一个⻆落。 每个新技术也相对地带来新的⻛险，而要跟上这些一直不断出现的变化是安全行业面临的一大挑战。防 守方总是落后于技术发展几步。例如，许多人都会以旧的思维去考虑问题：智能手机就像小型电脑，而 移动应用程序就像电脑上的软件一样，所以两样东西的安全方面的要求应该是一样的。可事实并非如 此。智能手机操作系统不同于桌面操作系统，移动应用与网⻚应用又不同。举个例子，在现今的移动操 作系统环境中，基于签名的病毒检测方法不起作用：它不仅与移动应用发行模式不兼容，而且由于移动 系统的沙盒限制，在技术上也不可行。此外，某些类别的漏洞（如缓冲区溢出和跨站脚本 XSS），和桌 面应用与网⻚应用比起来，在普通移动应用程序中并不流行。 m o c . 5 随着时间的推移，由于移动计算行业的发展，业界已经对安全问题有了可行的