<div dir="ltr">The ASVS stuff does indeed mention and prescribe trying to prevent static / dynamic analysis for sensitive apps (infrastructure; IoT apps; etc).  There are other OWASP projects out there that make similar references to preventing this stuff: BSIMM and OpenSAMM for example.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 4, 2014 at 1:32 PM, Andre Gironda <span dir="ltr"><<a href="mailto:andreg@gmail.com" target="_blank">andreg@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr"><a href="http://scmagazine.com/riskiq-platform/review/4304/" target="_blank">http://scmagazine.com/riskiq-platform/review/4304/</a></p>
<p dir="ltr">This is not just about vendors, but technology choice. A prior work was presented at OWASP AppSecUSA in 2011 from Ryan W Smith on "STAAF: an Efficient Distributed Framework for Performing Large-Scale Android Application Analysis".</p>
<p dir="ltr">Both the Mobile Top Ten and the ASVS mention binary-obfuscation technology and anti debugging/reversing for mobile apps. Should these mentions be removed? I want to say no but I am clearly less biased than Jonathan Carter. By the way, I would like to take credit for adding this material to the MT10. However, I did not add it to ASVS 2.0. Who did that and why? </p>
<p dir="ltr">dre<br>
</p>
</blockquote></div><br></div>