Переработка MASVS
А тем временем переработка MASVS идет полным ходом, как нам и обещали в конце года. Сейчас в самом разгаре проработка секции CRYPTO, и черновик можно посмотреть вот по этой ссылке
Что сказать, многие пункты или убрали или переработали и объединили. Например самый первый пункт теперь объединяет в себе все best practice по реализации шифрования:
- not using custom-made crypto.
- prefer platform provided crypto APIs (e.g. Apple CryptoKit)
- if possible, perform crypto operations inside secure hardware (e.g. iOS SE)
- else, consider well-tested & vetted libs: e.g. wolfSSL, boringSSL, openSSL
Если раньше это было размазано по нескольким пунктам в качестве отдельных требований, теперь все в одном флаконе. Не уверен, что это позитивно скажется на проверках, но посмотрим, что получится в итоговом документе.
В любом случае, приятно, что эти материалы развиваются и модифицируются в форму, в которой их будет удобно применять (надеюсь)
#OWASP #MASVS #Creypto
А тем временем переработка MASVS идет полным ходом, как нам и обещали в конце года. Сейчас в самом разгаре проработка секции CRYPTO, и черновик можно посмотреть вот по этой ссылке
Что сказать, многие пункты или убрали или переработали и объединили. Например самый первый пункт теперь объединяет в себе все best practice по реализации шифрования:
- not using custom-made crypto.
- prefer platform provided crypto APIs (e.g. Apple CryptoKit)
- if possible, perform crypto operations inside secure hardware (e.g. iOS SE)
- else, consider well-tested & vetted libs: e.g. wolfSSL, boringSSL, openSSL
Если раньше это было размазано по нескольким пунктам в качестве отдельных требований, теперь все в одном флаконе. Не уверен, что это позитивно скажется на проверках, но посмотрим, что получится в итоговом документе.
В любом случае, приятно, что эти материалы развиваются и модифицируются в форму, в которой их будет удобно применять (надеюсь)
#OWASP #MASVS #Creypto