diff --git a/Document-de/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-de/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index 1c9969f80..77980e3c2 100644 --- a/Document-de/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-de/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -6,8 +6,6 @@ Diese Kategorie behandelt Defense-in-Depth-Maßnahmen empfohlen für Apps, die Z Die Schutzmechanismen in diesem Abschnitt sollten nach Bedarf angewendet werden. Anhand einer Risikoprüfung sollten Risiken wie unerlaubte Manipulation der App oder Reverse Engineering des Codes bewertet werden. Es wird empfohlen das OWASP Dokument "Technical Risks of Reverse Engineering and Unauthorized Code Modification Reverse Engineering and Code Modification Prevention" (siehe Referenzen) zu nutzen um eine Liste mit Geschäftsrisiken und zugeordneten technischen Bedrohungen zu identifizieren. -Um die hier aufgeführten Schutzmechanismen effektiv umsetzen zu können muss eine App mindestens alle Anforderungen aus MASVS-L1 sowie die jeweiligen Anforderungen aus Kategorie V8 in aufsteigender Reihenfolge umsetzen. So setzen die Schutzmaßnahmen unter "Nachvollziehbarkeit verhindern" voraus, dass auch die Anforderungen aus "Dynamische Analyse und Manipulation verhindern" und "Gerätebindung" umgesetzt werden. - **Achtung: Diese Software-Schutzmaßnahmen sind kein Ersatz für die Umsetzung adäquater Sicherheitsmaßnahmen. Die Maßnahmen aus MASVR-R sind gedacht, um auf Basis App-spezifischer konkreter Bedrohungen zusätzliche Schutzmaßnahmen über die bereits umgesetzten Sicherheitsmaßnahmen aus MASVS hinaus umzusetzen.** Folgende Eckpunkte gelten: diff --git a/Document-es/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-es/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index e3e993e63..28c61de4a 100644 --- a/Document-es/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-es/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -6,8 +6,6 @@ En esta sección se cubren las protecciones recomendadas para aplicaciones que m Los controles de esta sección deben aplicarse según sea necesario, basándose en una evaluación de los riesgos causados por la manipulación no autorizada de la aplicación y/o la ingeniería inversa del código. Sugerimos consultar el documento de OWASP ["Riesgos técnicos de la Ingeniería Inversa y Modificaciones de Código no Autorizadas"](https://wiki.owasp.org/index.php/Technical_Risks_of_Reverse_Engineering_and_Unauthorized_Code_Modification) para obtener una lista de los riesgos de negocio, así como de las amenazas técnicas asociadas. -Para que cualquiera de los controles de la lista siguiente sea eficaz, la aplicación debe cumplir al menos todos los requisitos del nivel MASVS-L1 (es decir, deben existir sólidos controles de seguridad), así como todos los requisitos de números más bajos en la categoría V8. Por ejemplo, los controles de ofuscación listados en la sección "impedir la comprensión" deben combinarse con el "impedir el análisis dinámico y la manipulación" y la "atadura al dispositivo". - **Tenga en cuenta que los controles de software nunca deben utilizarse como reemplazo de los controles de seguridad. Los controles listados en MASVR-R buscan añadir controles de protección adicionales y específicos contra las amenazas a las aplicaciones que también cumplen con los requisitos de seguridad del MASVS.** Se aplican las siguientes consideraciones: diff --git a/Document-fa/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-fa/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index 74abf8878..26d4c2da4 100644 --- a/Document-fa/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-fa/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -8,8 +8,6 @@ کنترل‌های این بخش باید بنابه‌نیاز و بر اساس ارزیابی خطرات به‌وجود آمده توسط دستکاری غیرمجاز برنامه و یا مهندسی معکوس کد اعمال شوند. برای مشاهده لیستی از خطرات کسب و کار و همچنین تهدیدات فنی مربوطه، پیشنهاد می‌کنیم که به سند OWASP با عنوان "خطرات فنی مهندسی معکوس و مهندسی معکوس تغییر غیر مجاز کد و جلوگیری از تغییر کد" مراجعه شود. (منابع پایین را مشاهده کنید.) -برای اینکه هر یک از کنترل‌های فهرست شده در لیست زیر مؤثر واقع شوند، برنامه‌ی کاربردی باید حداقل تمام سطح یک MASVS (بدین معنی که کنترل‌های مستحکم امنیتی باید در سر جای خود باشند.) و همچنین تمام الزامات شماره‌گذاری شده با عدد پایین‌تر در V8 را برآورده سازد. به‌عنوان مثال، کنترل‌های مبهم‌سازی فهرست شده در زیر قسمت "منع درک کد"، باید همراه با "منع تجزیه و تحلیل پویا و دستکاری" و "اتصال دستگاه" ترکیب شوند. - **توجه کنید که محافظت‌های نرم‌افزاری نباید هرگز به عنوان جایگزینی برای کنترل‌های امنیتی استفاده شوند. کنترل‌های فهرست شده در MASVR-R به‌منظور اضافه کردن کنترل‌های محافظتی مازاد مرتبط با تهدیدات خاص به برنامه‌هایی که الزامات امنیتی MASVS را برآورده می‌کنند قرار داده شده‌اند.** ملاحظات زیر قابل اجرا هستند: diff --git a/Document-fr/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-fr/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index 2e2f09435..23366509c 100644 --- a/Document-fr/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-fr/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -6,8 +6,6 @@ Cette section couvre des mesures de défense en profondeur recommandées dans le Les contrôles de cette section devraient être mis en oeuvre autant qu'il est nécessaire, c'est-à-dire tel que requis par une évaluation des risques dûs à une modification non-autorisée de l'application et /ou une rétro-ingénierie du code. Nous ne pouvons que suggérer la consultation du document de l'OWASP "Technical Risks of Reverse Engineering and Unauthorized Code Modification Reverse Engineering and Code Modification Prevention" ("Risques Techniques Liés à la Rétro-Ingénierie et Modification de Code Non-Autorisée Rétro-Ingénierie et Prévention de Modification de Code", voir les références ci-dessous) pour une liste des risques liés aux affaires et des menaces techniques associées. -Pour que les contrôles de la liste ci-dessous soient effectifs, l'application doit implémenter au moins toutes les exigences de niveau MASVS-L1 (c'est-à-dire que des contrôles de sécurité robustes doivent être en place) ainsi que toutes les exigences de la partie V8. Par exemple, les contrôles concernant l'obscurcissement listés dans la partie "Entraver la Compréhension" doivent être combinés avec "Isolation de l'Application", "Entraver l'Analyse Dynamique et la Modification" et "Liaison avec un Appareil". - **Il convient de noter que les mécanismes de protection logiciels ne doivent jamais être utilisés en tant que substituts aux contrôles de sécurité. Les contrôles listés dans le MASVR-R ont pour intention de rajouter aux applications des mécanismes de protection supplémentaires, spécifiques à une menace donnée, qui sont compatibles avec les exigences de sécurité du MASVS.** Il convient de prendre en compte les considérations suivantes : diff --git a/Document-hi/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-hi/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index bcb48e6f7..1c50d9d1f 100644 --- a/Document-hi/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-hi/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -6,8 +6,6 @@ इस अनुभाग में नियंत्रण को आवश्यकतानुसार लागू किया जाना चाहिए, जो एप्लिकेशन के साथ अनधिकृत छेड़छाड़ और/या कोड के रिवर्स इंजीनियरिंग के कारण होने वाले जोखिमों के आकलन के आधार पर किया जाना चाहिए। हम OWASP दस्तावेज़ "रिवर्स इंजीनियरिंग और अनधिकृत कोड संशोधन रिवर्स इंजीनियरिंग और कोड संशोधन रोकथाम के तकनीकी जोखिम" (नीचे संदर्भ देखें) के साथ-साथ व्यावसायिक जोखिमों की सूची के साथ-साथ संबंधित तकनीकी खतरों के लिए परामर्श करने का सुझाव देते हैं। -नीचे दी गई सूची में किसी भी नियंत्रण के प्रभावी होने के लिए, एप्लिकेशन को कम से कम सभी MASVS-L1 (यानी, ठोस सुरक्षा नियंत्रण अनिवार्य रूप से लागू होना चाहिए) को पूरा करना होगा, साथ ही V8 में सभी कम-संख्या वाली आवश्यकताओं को भी पूरा करना होगा। उदाहरण के लिए, "बाधित समझ/ इम्पीड कॉम्प्रिहेंशन " के अंतर्गत सूचीबद्ध ओफ़्स्क्यूशन नियंत्रणों को "अशुद्ध गतिशील विश्लेषण और छेड़छाड़" और "डिवाइस बाइंडिंग" के साथ जोड़ा जाना चाहिए। - **ध्यान दें कि सॉफ़्टवेयर सुरक्षा का उपयोग सुरक्षा नियंत्रणों के प्रतिस्थापन के रूप में कभी नहीं किया जाना चाहिए। MASVR-R में सूचीबद्ध नियंत्रणों का उद्देश्य उन एप्लिकेशनों के लिए विशिष्ट,अतिरिक्त सुरक्षात्मक नियंत्रणों को जोड़ना है, जो MASSSR आवश्यकताओं को पूरा करते हैं।**. निम्नलिखित विचार लागू होते हैं: diff --git a/Document-ja/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-ja/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index 5ede16d80..e0674bf0f 100644 --- a/Document-ja/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-ja/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -6,8 +6,6 @@ このセクションのコントロールは、アプリの不正改竄やコードのリバースエンジニアリングにより引き起こされるリスクのアセスメントに基づいて、必要に応じて適用する必要があります。ビジネスリスクと依存する技術的脅威にはOWASPドキュメント "Technical Risks of Reverse Engineering and Unauthorized Code Modification", "Reverse Engineering and Code Modification Prevention" (下記の参考情報を参照)を参考にすることをお勧めします。 -以下のリストのコントロールのいずれかが有効であるためには、アプリは少なくともMASVS-L1(すなわち、基本的なセキュリティコントロールが必要)のすべてとV8でのすべての低い番号の要求を満たしている必要があります。例えば、「理解の阻止」に記載されている難読化コントロールは「動的解析と改竄の阻止」、「デバイスバインディング」と組み合わせる必要があります。 - **ソフトウェア保護はセキュリティコントロールの代わりに使用してはならないことに注意してください。MASVS-Rにリストされているコントロールは、MASVSセキュリティ要件を満たしているアプリに、脅威に特化した追加の保護コントロールを追加することを意図しています。** 以下の考慮事項が適用されます。 diff --git a/Document-ko/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-ko/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index cb1287f72..6c6038edd 100644 --- a/Document-ko/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-ko/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -6,8 +6,6 @@ 이 섹션의 통제는 앱의 무단 변조 또는 코드 리버스 엔지니어링으로 인한 위험 평가를 기반으로 필요에 따라 적용하여야 합니다. 비즈니스 위험 및 관련 기술 위협에 대해서는 OWASP 문서 "Technical Risks of Reverse Engineering and Unauthorized Code Modification Reverse Engineering and Code Modification Prevention"(아래 자료 참조)를 참조하십시오. -아래 목록의 모든 통제가 효과적이기 위해서는 앱이 최소한 MASVS-L1을 충족해야 합니다.(즉, 견고한 보안 통제가 있어야 함). 뿐만 아니라 V8의 모든 하위 사항들이 요구됩니다. 예를 들어, "이해 방해"에 나열된 난독화 통제는 "동적 분석 및 변조 방지" 및 "장치 바인딩"과 결합되어야 합니다. - **메모 : 해당 소프트웨어 보호 기능을 보안 통제 대신 사용해서는 안됩니다. MASVR-R에 나열된 통제는 MASVS 보안 요구사항을 충족하는 앱에 위협별 보호 통제를 추가하기 위한 것입니다.** 다음과 같은 고려 사항이 적용됩니다: diff --git a/Document-ptbr/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-ptbr/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index 88ea395b6..1b121a5a6 100644 --- a/Document-ptbr/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-ptbr/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -6,8 +6,6 @@ Esta seção cobre as medidas de proteção recomendadas para aplicativos móvei Os controles desta seção devem ser aplicados conforme necessário, com base em uma avaliação dos riscos causados por manipulação não autorizada do aplicativo móvel e/ou engenharia reversa do código. Sugerimos que sejam consultados os documentos "_Technical Risks of Reverse Engineering and Unauthorized Code Modification_" e "_Reverse Engineering and Code Modification Prevention_" do OWASP (veja referência abaixo) para uma lista dos riscos de negócio, assim como as ameaças técnicas associadas. -Para que qualquer controle da lista abaixo ser efetivo, o aplicativo móvel deve cumprir pelo menos todas as MASVS-L1 (ou seja, devem existir controles sólidos de segurança), assim como todos os requisitos de número inferior no V8. Por exemplo, os controles de ofuscação listados em "impedir a compreensão" devem ser combinados com "impedir a análise dinâmica e a manipulação" e "vinculação ao dispositivo". - **Perceba que as proteções de software nunca devem ser usadas como substitutas dos controles de segurança. Os controles listados no MASVR-R buscam adicionar controles específicos contra ameaças aos aplicativos móveis que também atendem aos requisitos de segurança do MASVS. As seguintes considerações se aplicam: diff --git a/Document-ptpt/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-ptpt/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index 8a5ca617b..f34ff9248 100644 --- a/Document-ptpt/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-ptpt/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -6,8 +6,6 @@ Esta secção cobre medidas recomendadas de defesa em profundidade para aplicaç Os controlos nesta secção devem ser aplicados quando necessários, baseados na avaliação dos riscos causados por manipulação não autorizada da aplicação, e/ou engenharia reversa do código. Nós sugerimos consultar o documento da OWASP "Technical Risks of Reverse Engineering and Unauthorized Code Modification Reverse Engineering and Code Modification Prevention" (ver referências em baixo) para uma lista de riscos de negócio assim como ameaças técnicas associadas. -Para que qualquer um dos controlos da lista em baixo seja efetivo, a aplicação deve cumprir pelo menos com todos os requisitos de MASVS-L1 (Ex: Fortes controlos de segurança devem ser implementados) assim como todos os requisitos numerados com um valor baixo em V8. Para exemplificar, os controlos listados em "Impedimento compreensão" devem ser combinados com "Impedimento analise dinâmica e manipulação" e Device Binding - **É de notar que proteções de software nunca devem de ser usadas como alternativa a controlos de segurança. Os controlos listados em MASVR-R são planeados para adicionar controlos de proteção adicionais, específicos para ameaças, que também preenchem os requisitos de segurança de MASVS.** As seguintes considerações são aplicadas: diff --git a/Document-ru/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-ru/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index 76af68adc..ed4c7b919 100644 --- a/Document-ru/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-ru/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -6,8 +6,6 @@ Требования в этом разделе должны применяться по мере необходимости, основываясь на оценке рисков, вызванных несанкционированным вмешательством в приложение и/или восстановлением исходного кода. Мы предлагаем обратиться к документу OWASP «Technical Risks of Reverse Engineering and Unauthorized Code Modification Reverse Engineering and Code Modification Prevention» (см. ссылки ниже) для составления списка бизнес рисков и связанных с ними технических угроз. -Чтобы любое из требований в приведенном ниже списке было эффективным, приложение должно выполнить, по меньшей мере, все MASVS-L1, а также все требования из V8, которые ему предшествуют. Например, если приложение соблюдает требование обфускации из раздела «Противодействие восстановлению логики работы приложения», оно должно также удовлетворять всем требованиям из разделов «Противодействие динамическому анализу и фальсификациям» и «Привязка к устройству». - **Обратите внимание, что программные меры защиты из данного раздела не должны использоваться в качестве замены основным требованиям безопасности. Вместо этого они должны быть реализованы как специализированное дополнение, направленное на локализацию конкретных угроз, в мобильном приложении, соответствующем требования MASVS.** Следует рассмотреть следующие соображения: diff --git a/Document-zhcn/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-zhcn/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index 38fce7239..c0005acc0 100644 --- a/Document-zhcn/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-zhcn/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -6,8 +6,6 @@ 相关人员应根据实际需求,基于应用程序可能面对的篡改或逆向工程进行风险评估从而实施本章节中的提到防御。我们建议查阅OWASP文档中的"逆向工程和未经授权的代码篡改的技术风险"章节(请参阅下面的参考资料)来了解相关的技术和业务风险。 -为了使以下列表中的防御措施有效,应用程序必须至少满足所有MASVS-L1(基本的安全控制),以及V8中的所有较低编号的要求。例如,"阻碍理解"下列出的代码混淆必须与"阻碍动态分析和篡改"和"设备绑定"相结合使用。 - **请注意,本章节列出的软件保护措施不能作为安全控制的替代品。MASVR-R中列出的防御措施旨在同时满足MASVS的安全要求的前提下,对于特定威胁的提供额外的保护。** 此外,还有以下几点注意事项: diff --git a/Document-zhtw/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document-zhtw/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index 8f48588e1..a2e58368e 100644 --- a/Document-zhtw/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document-zhtw/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -8,9 +8,6 @@ 基於對未經授權篡改應用程式和/或代碼逆向工程所導致的風險的評估,應根據需要應用本節中的控件。 我們建議諮詢OWASP文件"逆向工程技術風險和未經授權的代碼修改逆向工程和代碼修改預防"(參考下面)列出的業務風險以及相關的技術威脅。 -對下面的列表中的任何控件是有效的,應用程式必須滿足至少所有的MASVS-L1(換句話說,實體安全控件一定是到位),以及V8內所有低編號的要求, -例如,下面的混淆控制列表"妨礙理解"一定是跟"應用程式隔離"結合,"妨礙動態分析和竄改",和"設備綁定" - 注意: 軟體保護絕不是使用在一個安全控制元件替換,MASVR-R中列出的控件旨在增加特定威脅,對滿足MASVS安全要求的應用程式,提供額外的保護控制 以下注意事項採用: diff --git a/Document/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md b/Document/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md index 5d08a4149..44b92880b 100644 --- a/Document/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md +++ b/Document/0x15-V8-Resiliency_Against_Reverse_Engineering_Requirements.md @@ -6,8 +6,6 @@ This section covers defense-in-depth measures recommended for apps that process, The controls in this section should be applied as needed, based on an assessment of the risks caused by unauthorized tampering with the app and/or reverse engineering of the code. We suggest consulting the OWASP document "Technical Risks of Reverse Engineering and Unauthorized Code Modification Reverse Engineering and Code Modification Prevention" (see references below) for a list of business risks as well as associated technical threats. -For any of the controls in the list below to be effective, the app must fulfil at least all of MASVS-L1 (i.e., solid security controls must be in place), as well as all lower-numbered requirements in V8. For examples, the obfuscation controls listed in under "impede comprehension" must be combined with "impede dynamic analysis and tampering" and "device binding". - **Note that software protections must never be used as a replacement for security controls. The controls listed in MASVR-R are intended to add threat-specific, additional protective controls to apps that also fulfil the MASVS security requirements.** The following considerations apply: