MASVS-CODE: コード品質

モバイルアプリには UI、IPC、ネットワーク、ファイルシステムなど多くのデータエントリポイントがあり、信頼できないアクターによって気付かぬうちに変更されたデータを受け取る可能性があります。このデータを信頼できない入力として扱い、使用する前に適切に検証しサニタイズすることで、開発者は SQL インジェクション、XSS、安全でないデシリアライズなどの従来のインジェクション攻撃を防ぐことができます。しかし、メモリ破損の欠陥など他の一般的なコーディングの脆弱性はペネトレーションテストで検出するのは困難ですが、セキュアアーキテクチャとコーディングプラクティスで簡単に防ぐことができます。開発者は OWASP Software Assurance Maturity Model (SAMM) や NIST.SP.800-218 Secure Software Development Framework (SSDF) などのベストプラクティスに従って、これらの欠陥が最初から持ち込まれないようにする必要があります。

このカテゴリはアプリのデータエントリポイント、OS、サードパーティのソフトウェアコンポーネントなどの外部ソースから発生するコーディングの脆弱性を対象としています。開発者はすべての入力データを検証してサニタイズし、インジェクション攻撃やセキュリティチェックのバイパスを防ぐ必要があります。また、アプリの更新を強制し、既知の脆弱性からユーザーを保護するためにアプリが最新のプラットフォームで動作することを確保する必要もあります。