本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。
iDB
App 資安檢測
行動應用 App 基本資安檢測
隨著行動裝置普及,國內許多產業開始以行動應用程式提供行銷及更友善的操作方式,但這背後卻潛藏著許多資安危機。為此,政府於2015年公告行動應用 App 基本資安規範,並且導入 ISO 17025 測試實驗室制度,凡經認可的資安實驗室皆可依循此標準執行測試作業,送測廠商即可將資安實驗室所交付的測試報告,送交驗證機構取得行動應用 App 資安標準。該資安規範發展至今,除了公部門所發布的行動應用程式需取得資安標章外,該資安標準更已擴及銀行、保險及證券等金融產業,在主管機關的要求下,上述產業所使用之行動應用程式每年皆需取得該資安標章,以確保行動應用程式安全,避免使用者隱私與權益受到行動應用程式漏洞而遭受損害。
行動應用 App 基本資安檢測標準要求
此資安檢測標準於2015年初次發行,隨著國際標準與常見資安問題不斷進行修正,目前最新版本為2022年所發行的「行動應用 App 基本資安檢測基準 V3.2」,其內容參考 OWASP Mobile Security Testing Guideline (MSTG)、Cloud Security Alliance - Mobile Application Security Testing及 NIST Special Publication 800-163 Vetting the Security of Mobile Applications ,訂定基本資安檢測項目,涵蓋發布安全、敏感性資料保護、交易資源控管、使用者身分鑑別、授權與連線管理安全及程式碼安全等5個面向。根據行動應用 App 本身所提供之功能,測試項目由最基礎的 L1 至最完整的 L3,另外提供高安全性 App 之進階加測項目供送測廠商自行選測。
通過 MAS 是否等於符合 OWASP MSTG
行動應用 App 基本資安檢測基準於2022年1月修改為 V3.2,該版本最主要的改變便是與 OWASP MSTG 資安要求內容進行對齊,讓該檢測基準的測試項目與手法與國際接軌,有利於委託國外廠商進行開發之客戶可清楚明白該要求內容與國際標準之相似之處。不過,行動應用 App 資安檢測基準並未完全涵蓋 OWASP MSTG 內容,因此送測廠商即便在取得 MAS 標章之後,亦無法宣稱行動應用程式完全符合 OWASP MSTG 要求之內容。為滿足客戶的多種資安標準合規需求,安華聯網亦提供一站式檢測服務,送測廠商可以同時符合行動應用 App資安檢測基準、OWASP MSTG 及 ioXt Mobile App 之檢測報告,這也是國內唯一可提供此服務的資安檢測實驗室。
安華聯網優勢
安華聯網於2016年取得行動應用App基本資安檢測實驗室資格,至今已執行過1000隻以上的行動應用App檢測經驗,更於2020年與2021年獲的優良檢測實驗室的殊榮,安華聯網在行動應用App檢測服務各方面,深受主管單位的肯定。為能夠提供更多的檢測能量,安華聯網亦投入人力與資源研究自動化檢測與分析平台,將部分測試項目自動化,提升測試效率與減少測試結果不一致的情況。