OWASP является некоммерческой организацией и не сертифицирует вендоров, аудиторов, или программное обеспечение.
OWASP не выдаёт официальные оценки, знаки доверия, или сертификаты, поэтому к организации, утверждающей, что она имеет сертификацию OWASP, следует относиться с осторожностью.
В то же время, отсутствие официальной сертификации OWASP не запрещает организациям предлагать услуги аудита по данному стандарту.
Рекомендуемым способом проверки соответствия мобильного приложения стандарту MASVS является аудит методом «открытой книги», означающий, что проверяющие получают полный доступ к ключевым ресурсам, таким как: архитекторы и разработчики приложения, проектная документация, исходный код и авторизованный доступ к бэкенду (как минимум по одной учетной записи для каждой роли).
Важно отметить, что MASVS охватывает только безопасность мобильных приложений (на стороне клиента) и сетевое взаимодействие между приложением и его удалёнными сервисами, а также несколько базовых и общих требований, связанных с аутентификацией пользователя и управлением сессиями. Данный документ не содержит специфичных требований к удаленным сервисам (например, веб-сервисам), связанным с приложением, ограничиваясь набором базовых требований к безопасности аутентификации и управления сессиями. Однако MASVS V1 подчёркивает, что удалённые сервисы должны быть учтены в общей модели угроз и проверены по соответствующим стандартам, таким, как OWASP ASVS.
Проверяющая организация должна включать в отчёт область охвата проверки, резюме о результатах проверки, включая пройденные и непройденные тесты, с ясными указаниями о том, как исправить недостатки. Сохранение подробных документов, скриншотов или видео, сценариев для воспроизведения и эксплуатирования багов, электронных записей, таких как логи перехватывающего запросы прокси-сервера и прочих заметок являются стандартной практикой индустрии. Недостаточно просто запустить инструмент и сообщить об ошибках, это не дает достаточных доказательств того, что проверяющим были проведены все проверки должным образом. В случае возникновения спора должны быть достаточные доказательства для демонстрации того, что соответствие каждому требованию было проверено.
OWASP MSTG - это руководство по тестированию безопасности мобильных приложений. В нём описываются технические процессы для проверки требований, перечисленных в MASVS. MSTG включает список тест-кейсов, выстроенных в соответствии с требованиями в MASVS. Хотя требования MASVS являются высокоуровневыми и универсальными, MSTG предоставляет подробные рекомендации и процедуры тестирования для каждой целевой мобильной ОС.
Для повышения эффективности рекомендуется использовать статические анализаторы исходного кода и инструменты для blackbox тестирования. Однако невозможно выполнить проверку MASVS, используя только автоматизированные инструменты: каждое мобильное приложение уникально, и понимание общей архитектуры, бизнес-логики и технических проблем конкретных технологий и фреймворков является обязательным требованием для верификации безопасности приложения.
Одно из наиболее распространенных применений MASVS - в качестве пособия для архитекторов безопасности. В двух основных методологиях по выстраиванию безопасной архитектуры SABSA и TOGAF отсутствует информация, необходимая для ревью безопасности архитектуры мобильных приложений. MASVS можно использовать для заполнения этих пробелов, позволяя архитекторам безопасности выбирать лучшие требования безопасности, адаптированные для мобильных приложений.
Многие организации могут извлечь выгоду из соответствия MASVS, выбрав один из двух уровней проверки, или кастомизировав MASVS для собственных требований, предварительно оценив уровни риска для собственных приложений, беря во внимание область их применения. Мы приветствуем такие ответвления до тех пор, пока сохраняется преемственность, т.е. соответствие приложения требованию 4.1 оригинального стандарта должно означать то же самое в его кастомизированной копии.
Хорошая методология тестирования безопасности мобильных приложений должна покрывать все требования, перечисленные в MASVS. В гайде OWASP по тестированию мобильных приложений (MSTG) описываются black-box и white-box тест-кейсы для каждого из требований данного стандарта.
MASVS, за исключением некоторых архитектурных требований, может быть использован как руководство для тестирования. Автоматические модульное, интеграционное и приёмочное тестирование на основе требований MASVS могут быть интегрированы в непрерывный жизненный цикл разработки. Это не только повысит уровень осведомлённости разработчиков в области безопасности, но также улучшит общее качество приложений и уменьшит количество находимых уязвимостей на этапе предрелиза.
MASVS также может использоваться для определения характеристик безопасных мобильных приложений. Многие курсы «безопасного программирования» - это курсы этичного хакинга с лёгким намеком на подсказки по написанию кода, что, безусловно, не помогает разработчикам. Вместо этого курсы безопасной разработки могут использовать MASVS, уделяя особое внимание проактивным средствам контроля, задокументированным в MASVS, а не, например, списку наиболее часто встречающихся уязвимостей в мобильных приложениях (OWASP Mobile Top 10).