<div dir="ltr">I believe the ASVS makes references to critical infrastructure apps as having some form of resistance to reverse engineering and tampering.  All sorts of independent third-party consultancies also make policy recommendations to their clients about producing mobile apps that make this same recommendation.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 4, 2014 at 3:18 PM, Andrew van der Stock <span dir="ltr"><<a href="mailto:vanderaj@owasp.org" target="_blank">vanderaj@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I really should proof the ASVS more closely, as I certainly didn't add<br>
obfuscation to any of the drafts I was involved in. Maybe when we were<br>
aligning ourselves with the Mobile Top 10, it crept in there. I will<br>
ask as I don't think it belongs in the ASVS.<br>
<br>
thanks,<br>
Andrew<br>
<div class="HOEnZb"><div class="h5"><br>
On Wed, Nov 5, 2014 at 9:34 AM, Jonathan Carter<br>
<<a href="mailto:jonathan.carter@owasp.org">jonathan.carter@owasp.org</a>> wrote:<br>
> The ASVS stuff does indeed mention and prescribe trying to prevent static /<br>
> dynamic analysis for sensitive apps (infrastructure; IoT apps; etc).  There<br>
> are other OWASP projects out there that make similar references to<br>
> preventing this stuff: BSIMM and OpenSAMM for example.<br>
><br>
> On Tue, Nov 4, 2014 at 1:32 PM, Andre Gironda <<a href="mailto:andreg@gmail.com">andreg@gmail.com</a>> wrote:<br>
>><br>
>> <a href="http://scmagazine.com/riskiq-platform/review/4304/" target="_blank">http://scmagazine.com/riskiq-platform/review/4304/</a><br>
>><br>
>> This is not just about vendors, but technology choice. A prior work was<br>
>> presented at OWASP AppSecUSA in 2011 from Ryan W Smith on "STAAF: an<br>
>> Efficient Distributed Framework for Performing Large-Scale Android<br>
>> Application Analysis".<br>
>><br>
>> Both the Mobile Top Ten and the ASVS mention binary-obfuscation technology<br>
>> and anti debugging/reversing for mobile apps. Should these mentions be<br>
>> removed? I want to say no but I am clearly less biased than Jonathan Carter.<br>
>> By the way, I would like to take credit for adding this material to the<br>
>> MT10. However, I did not add it to ASVS 2.0. Who did that and why?<br>
>><br>
>> dre<br>
><br>
><br>
><br>
</div></div><div class="HOEnZb"><div class="h5">> _______________________________________________<br>
> OWASP-Leaders mailing list<br>
> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
><br>
</div></div></blockquote></div><br></div>