與web應(yīng)用相比�,移動(dòng)應(yīng)用的安全實(shí)踐有什么不同?
我向Jeffery Payne和Dan Cornell問了此問題�,Jeffery Payne是軟件咨詢機(jī)構(gòu)Coveros的CEO,Dan Cornell是位于德克薩斯州��,圣安東尼奧的安全咨詢公司Denim Group的總裁����。這兩個(gè)位安全專家在最廣泛的意義上�,對安全規(guī)則進(jìn)行了強(qiáng)調(diào)���,這些安全規(guī)則既適用web應(yīng)用����,也適合于移動(dòng)應(yīng)用開發(fā)項(xiàng)目���。
從威脅建模�、到源代碼分析和滲透測試��,軟件團(tuán)隊(duì)?wèi)?yīng)該采取措施來確保應(yīng)用程序的整個(gè)生命周期的安全�,包括策劃、編碼�、測試和部署,Payne和Cornell說�。
但是他們也指出的一些關(guān)鍵的方法,使移動(dòng)應(yīng)用引入新安全挑戰(zhàn)兩位專家對于應(yīng)用安全的一些看法�。
Jeffery Payne:當(dāng)涉及到安全時(shí),軟件就是軟件�,而且運(yùn)用所有平常的規(guī)則。移動(dòng)應(yīng)用改變的一件關(guān)鍵事情是,我們使用它的方式����。這應(yīng)用運(yùn)行在智能手機(jī)上,然后我們可以把手機(jī)裝在口袋中��,我們走路的時(shí)候也一直帶著它��。但我們的手機(jī)很容易丟失或被偷�����,這是最大的安全所在���。
也就是說�,開發(fā)人員要仔細(xì)考慮移動(dòng)應(yīng)用存儲(chǔ)數(shù)據(jù)的方式�,這樣當(dāng)有人拿走你的手機(jī)����,也不能輕易訪問那些數(shù)據(jù)。最佳實(shí)踐包括加密敏感數(shù)據(jù)——即信用卡號碼���、客戶信息和社交安全密碼����。做這些已經(jīng)足夠了,但是移動(dòng)應(yīng)用迫使開發(fā)人員思考移動(dòng)設(shè)備可用環(huán)境下的安全性;屏幕很小����,鍵盤受限,用戶一直在使用�����。我們越是鎖定安全性�����,移動(dòng)應(yīng)用就越難以使用�����。從事web應(yīng)用的開發(fā)人員不必在這個(gè)問題上費(fèi)心����。
另一個(gè)選擇是將數(shù)據(jù)存儲(chǔ)在隨機(jī)存取存儲(chǔ)器(RAM),這里應(yīng)用程序可以輕易訪問����,但卻隱藏于視圖之外����。在此情況下���,確保應(yīng)用從RAM中自動(dòng)清除數(shù)據(jù)很關(guān)鍵——除去這一點(diǎn)�,它幾近完美�。
Dan Cornell:對于移動(dòng)應(yīng)用,軟件開發(fā)團(tuán)隊(duì)可以采取的最重要安全措施是���,進(jìn)行小組練習(xí)��,小組成員映射出移動(dòng)應(yīng)用組件�����,創(chuàng)建出可視的系統(tǒng)和數(shù)據(jù)庫的描述圖���,移動(dòng)應(yīng)用借此來彼此溝通���?梢暬姆椒ㄊ欠浅S行У模?yàn)樗试S開發(fā)人員和測試人員知道數(shù)據(jù)流是如何通過應(yīng)用程序的��,了解到哪一點(diǎn)是必須確保安全的。
這種練習(xí)的附加好處還有�����,它準(zhǔn)確地傳達(dá)了企業(yè)移動(dòng)應(yīng)用程序的復(fù)雜性���,這幫助團(tuán)隊(duì)成員超越了傳統(tǒng)的思想�����,即移動(dòng)應(yīng)用是小的�、簡單的�����。這對于第一代移動(dòng)應(yīng)用來說���,可能是對的���,第一代移動(dòng)應(yīng)用只執(zhí)行一個(gè)簡單的任務(wù),而不會(huì)能企業(yè)應(yīng)用中訪問數(shù)據(jù)���。但今天開發(fā)的移動(dòng)應(yīng)用很重要��。圖表方法也允許團(tuán)隊(duì)思考移動(dòng)應(yīng)用應(yīng)該在哪里存儲(chǔ)數(shù)據(jù)����。對于計(jì)劃階段中,討論每一點(diǎn)上的風(fēng)險(xiǎn)和好處很重要����,因此在應(yīng)用完成后,進(jìn)行架構(gòu)修改不僅費(fèi)時(shí)�����,而很昂貴����。
