-
-
Notifications
You must be signed in to change notification settings - Fork 443
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Merge pull request #122 from kysokzla/ru_translation
Add Russian translation
- Loading branch information
Showing
21 changed files
with
548 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,5 @@ | ||
| # | ||
|  | ||
|
|
||
| # The Mobile Application Security Verification Standard (Стандарт проверки безопасности мобильных приложений) | ||
| [date] |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,25 @@ | ||
| ## Вступительное слово от Bernhard Mueller, OWASP Mobile Project | ||
|
|
||
| Технологические революции могут происходить молниеносно: менее десятилетия назад смартфоны были громоздкими устройствами с клавиатурой, и являлись дорогими игрушками для некоторых компаний. Сегодня же смартфоны прочно вошли в нашу жизнь. Мы доверяем им информацию, навигацию, коммуникацию, а также они являются неотъемлемой составляющей как бизнеса, так и жизни в целом. | ||
|
|
||
| Каждая новая технология приносит новые риски безопасности, и попытка поспеть за этими изменениями и есть один из основных вызовов, которые стоят перед индустрией безопасности. Сторона защиты всегда на несколько шагов позади. Например, обычной реакцией многих была бы попытка применить старый подход: смартфоны- это маленькие компьютеры и мобильные приложения- обычное ПО, значит требования безопасности абсолютно такие же? Но так это не работает. Операционные системы смартфонов отличаются от ОС компьютеров и мобильные приложения отличаются от веб приложений. Например, классический метод поиска вирусов, основанный на подписях, не представляется возможным в современных мобильных средах: не только потому что это не соотносится с моделью распространения мобильного ПО, но еще и по тому, что это технически невозможно из- за ограничений среды выполнения приложений(sandbox). Также, некоторые классы уязвимостей, такие как: переполнение буфера и XSS менее релевантны к мобильным приложения, нежели к компьютерным программам и веб приложения(есть исключения). | ||
|
|
||
| C течением времени, наша индустрия получила больше опыта в борьбе с мобильными угрозами. Как оказалось, мобильная безопасность- это про сохранение данных: приложения хранят нашу личную информацию, картинки, записи, заметки, учетные данные, информацию о бизнесе, местоположения и многое другое. Приложения играют роль клиентов, подключающих нас к сервисам, которыми мы используем ежедневно, а также они играют роль коммуникационных хабов, обрабатывающих каждое сообщение, которым мы обмениваемся. Скомпрометировав телефон человека, вы получите неограниченный доступ к его личной жизни. Когда мы берем во внимание тот факт, что мобильные устройства легко теряются или похищаются и мобильные вирусы сейчас активно развиваются, необходимость защиты данных становиться еще более очевидной. | ||
|
|
||
| Следовательно, стандарты безопасности мобильных приложений должны сконцентрироваться на том, как они обрабатывают, хранят и защищают чувствительную информацию. Даже не смотря на тот факт что современные мобильные операционные системы такие как iOS и Android предоставляют хорошие API для защищенного хранения данных и их передачи, они должны быть реализованы и использованы правильно для того, чтобы быть эффективными. Хранение данных, коммуникация внутри приложения, правильное использование криптографических API и защищенный сетевой обмен - это только некоторые из аспектов, которые требуют внимательного рассмотрения. | ||
|
|
||
| Важный вопрос,в котором необходимо достич консенсуса в нашей индустрии- это как далеко должны заходить специалисты в вопросах защиты конфиденциальности и целостности данных. Например, многие из нас согласятся, что мобильное приложение должно проверять сертификат сервера во время соединения TLS. Но что насчет SSL pinning? Невыполнение этого требования ведет к уязвимости? Должно ли это быть требованием, если приложение обрабатывает чувствительную информацию или же, может быть, это контрпродуктивно? Нужно ли нам зашифровывать данные, хранящиеся в SQlite, несмотря на то, что ОС выполняет приложение в песочнице(sandboxing)? То что подходит одному приложению может быть совсем нереалистично для другого. MASVS - это попытка стандартизации требований, используя уровни проверок, которые подходят для разных моделей угроз. | ||
|
|
||
|
|
||
| Появление вредоносных программ, работающих как root, а также инструменты удаленного управления заставляют осознать тот факт, что мобильные ОС, как таковые, имеют недостатки, которыми могут воспользоваться злоумышленники. Стратегии контейнеризации используются все повсеместнее, чтобы дополнительная защита чувствительных данных и предотвращение tampering(подделывание/искажение/вмешательство) на стороне клиента стало возможным. Это место, где все усложняются. Меры безопасности, обеспеченные на уровне железа, и решения контейнеризации на уровне ОС, такие как: Android for Work и Samsung Knox, существуют, но они бывают недоступны на некоторых устройствах. В качестве костыля, возможно реализовать программные меры защиты, но, к сожалению, не существует стандартов или процессов тестирования для подтверждения такого способа защиты. | ||
|
|
||
| В результате, отчеты по тестированию информационной безопасности мобильных приложений повсюду. Например, некоторые тестировщики приложений Android сообщают о недостаточной обфускации или о нахождении root процесса как о "недостатке безопасности". С другой стороны, такие метрики как шифрование строк, обнаружение отладчика или обфускации потока управления не считаются необходимыми. Однако, бинарный взгляд на вещи не имеет смысла, потому что отказоустойчивость не является бинарным предположением: это зависит от конкретной модели угроз клиентского приложения, от которой пытаются защититься. Защита программного уровня не является бесполезной, но в конечном итоге ее можно обойти, так что она не должна быть использована как замена контрмер безопасности. | ||
|
|
||
| Общая цель MASVS - предложить фундамент для безопасности мобильных приложений(MASVS- L1), вместе с тем, позволить включить усиленные меры защиты (MASVS-L2) и защиту против угроз на стороне клиента (MASVS-R). MASVS предназначен для достижения следующих целей: | ||
|
|
||
| * Предоставить требования для системных архитекторов и разработчиков, желающих создать безопасные мобильные приложения. | ||
| * Предложить промышленный стандарт, с которым можно сверять аудит безопасности мобильных приложений. | ||
| * Прояснить роль механизмов защиты ПО в мобильной безопасности и предоставить требования для проверки их эффективности. | ||
| * Предоставить конкретные рекомендации, для разных уровней безопасности, которые зависят от конкретного варианта использования. | ||
|
|
||
| Мы пониманием что 100% консенсуса в отрасли невозможно достичь. Однако, мы надеемся что MASVS будет полезен в предоставлении руководства на всех этапах разработки и тестировании мобильных приложений. Как открытый стандарт, MASVS, будет развиваться с течением времени и мы рады любым предложениям или вкладам в развитием проекта. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,20 @@ | ||
| # Вступительное слово | ||
|
|
||
| ## О стандарте | ||
|
|
||
| Добро пожаловать в стандарт проверки безопасности мобильных приложений (MASVS) 0.9.2. MASVS- это усилие сообщества в создании библиотеки с требованиями безопасности, необходимыми для проектирования, разработки и тестирования безопасных мобильных приложений на iOS и Android. | ||
|
|
||
| MASVS - кульминация усилий сообщества и обратной связи от индустрии. Мы надеемся на развитие стандарта со временем и мы приветствуем обратную связь от сообщества. Лучший вариант связаться с нами- это через OWASP Mobile Project Slack [channel](https://owasp.slack.com/messages/project-mobile_omtg/details/). | ||
|
|
||
| Аккаунты можно создать по этому [адресу](http://owasp.herokuapp.com/). | ||
| ## Авторское право и лицензия | ||
|  | ||
|
|
||
| Copyright © 2018 The OWASP Foundation. Данный документ выпущен под Creative Commons Attribution ShareAlike 3.0 license. Для любого переиспользования или же распространения, вы должны разъяснить всем сторонам правила лицензии, используемой в этой работе. | ||
|
|
||
| | Руководитель проекта | Главные авторы | Авторы и рецензенты | Перевод на русский | Рецензенты перевода на русский | | ||
| | --- | --- | --- | --- | --- | --- | | ||
| | Bernhard Mueller, Sven Schleier | Bernhard Mueller | Stephen Corbiaux, Sven Schleier, Jeroen Willemsen, Anant Shrivastava, Abdessamad Temmar, Alexander Antukh, Roberto Martelloni, Stefaan Seys, Prabhant Singh, Francesco Stillavato, Abhinav Sejpal | Gall Maxim | Oprya Egor, Chelnokov Vladislav, Tereshin Dmitrii, Mesheryakov Aleksey, Ratchenko Denis | | ||
|
|
||
| Работа над документом была начата как ответвление OWASP Application Security Verification Standard, написанного Jim Manico. | ||
|
|
Oops, something went wrong.