明腾微信公众号
明腾微信公众号
赵志国谈到,工业和信息化部推动标准制定。组织行业力量,推动《APP用户权益保护测评规范》以及《APP收集使用个人信息最小必要评估规范》系列标准制定工作。目前已完成27项相关标准的制定,并正式向社会发布。
据了解,今年首批157款侵害用户权益行为的APP主要涉及违规收集个人信息、违规使用个人信息,以及APP强制、频繁、过度索取权限等几个方面的突出问题。赵志国表示,工信部要求相关APP应在1月29日前完成整改落实工作,后续部里会及时开展核查复检等相关工作,对未按时完成整改的APP,依法依规采取公开通报和下架等相关处置措施。
因此,在开发APP的过程中还是应该注意一些安全隐患的!
当您的公司开发APP时,安全性仍然是主要关注点。平均而言,智能手机用户手机上有超过30个APP,他们每天打开其中9个APP。每个人都喜欢APP - 包括黑客!随着APP越来越受欢迎,网络攻击的可能性也越来越大。在您建立各自的团队时,以下是值得注意的关键点。
☞ 绝不假设软件是安全的
开发团队最常见的错误之一是假设软件在开发阶段的任何时候都是安全的。有各种各样的访问点,网络黑客可以添加损坏的输入。例如,有害的SQL代码可能在程序中,在开发过程中被忽略。恶意软件几乎总是能够发现这些漏洞。您的应用可以检测用户不活动吗?应用还应在设定的时间范围内自动结束空闲用户会话,以提高安全性。这些APP脚本是用户友好的,并增加了黑客尝试登录的难度。在外包时,将前端开发人员添加到您的团队以创建界面,通过将用户重定向到登录页面来提示用户重新启动会话。
☞ 考虑文件级加密
当网络犯罪分子试图从APP中提取信息时,文件级加密将使文件不可读。文件级加密是高度安全的,因为它保护单个文件,但在此级别加密通常需要专业知识。在加密过程中,密钥管理和日志管理的生命周期在一般层面上不易理解。将这些任务外包给专家可以节省您的组织时间,并减少出错的空间。
☞ 在发布APP之前,测试是至关重要的
建立一个专注的测试团队可以让您的公司充分评估攻击发生时您的移动APP的安全性。由于90%的现代APP存在安全漏洞,因此没有公司应该先将APP发送到市场而不进行测试。不幸的是,跳过测试阶段是一种常见的做法。许多公司面临时间限制,导致组织推动APP前进,以加快营销过程。
WebAPP,本机APP和混合APP有其独特的差异,必须进行相应测试才能找到可能导致数据泄露的编码错误。除了授权和身份验证测试外,还应完成渗透测试和仿真器测试。渗透测试,也称为笔测试,搜索您的APP网络以查找漏洞。笔测试的职责包括二进制分析,APP映射以及通过分阶段攻击定位弱API点。仿真器创建模拟以预览APP,并查看APP在各种环境(即多个设备,浏览器和操作系统)中的工作方式。然后,模拟器将通过尝试破解它来显示APP的易受攻击性。
☞ 执行敏捷技术可提高应用安全性
在敏捷项目管理模型的支持下,团队的综合知识必将提高APP的安全性。通过采用创新的敏捷方法,项目获得成功的可能性提高28%。敏捷方法可以带来更积极的结果,因为您公司的内部员工和外包团队将通过增强的关注和意图进行协作。
开发软件需要从头开始实现高级别的安全性,以保护用户和公司。敏捷技术通过 向开发人员通报每项安全措施来提高安全性和生产力。从编码到测试,敏捷开发将关注团队成员应该执行的额外安全任务,同时跟上不断发展的应用市场以满足用户需求。
