與web應(yīng)用相比��,移動應(yīng)用的安全實踐有什么不同?
我向Jeffery Payne和Dan Cornell問了此問題,Jeffery Payne是軟件咨詢機構(gòu)Coveros的CEO���,Dan Cornell是位于德克薩斯州���,圣安東尼奧的安全咨詢公司Denim Group的總裁。這兩個位安全專家在最廣泛的意義上���,對安全規(guī)則進行了強調(diào)�����,這些安全規(guī)則既適用web應(yīng)用���,也適合于移動應(yīng)用開發(fā)項目。
從威脅建模����、到源代碼分析和滲透測試�,軟件團隊應(yīng)該采取措施來確保應(yīng)用程序的整個生命周期的安全,包括策劃、編碼�����、測試和部署�����,Payne和Cornell說�。
但是他們也指出的一些關(guān)鍵的方法,使移動應(yīng)用引入新安全挑戰(zhàn)兩位專家對于應(yīng)用安全的一些看法�����。
Jeffery Payne:當涉及到安全時����,軟件就是軟件,而且運用所有平常的規(guī)則����。移動應(yīng)用改變的一件關(guān)鍵事情是,我們使用它的方式�。這應(yīng)用運行在智能手機上���,然后我們可以把手機裝在口袋中�,我們走路的時候也一直帶著它。但我們的手機很容易丟失或被偷�����,這是最大的安全所在����。
也就是說,開發(fā)人員要仔細考慮移動應(yīng)用存儲數(shù)據(jù)的方式����,這樣當有人拿走你的手機,也不能輕易訪問那些數(shù)據(jù)�。最佳實踐包括加密敏感數(shù)據(jù)——即信用卡號碼、客戶信息和社交安全密碼����。做這些已經(jīng)足夠了,但是移動應(yīng)用迫使開發(fā)人員思考移動設(shè)備可用環(huán)境下的安全性;屏幕很小���,鍵盤受限�����,用戶一直在使用�����。我們越是鎖定安全性�����,移動應(yīng)用就越難以使用�。從事web應(yīng)用的開發(fā)人員不必在這個問題上費心。
另一個選擇是將數(shù)據(jù)存儲在隨機存取存儲器(RAM)����,這里應(yīng)用程序可以輕易訪問,但卻隱藏于視圖之外��。在此情況下�����,確保應(yīng)用從RAM中自動清除數(shù)據(jù)很關(guān)鍵——除去這一點���,它幾近完美��。
Dan Cornell:對于移動應(yīng)用�����,軟件開發(fā)團隊可以采取的最重要安全措施是�����,進行小組練習(xí)����,小組成員映射出移動應(yīng)用組件�,創(chuàng)建出可視的系統(tǒng)和數(shù)據(jù)庫的描述圖,移動應(yīng)用借此來彼此溝通��������?梢暬姆椒ㄊ欠浅S行У����,因為它允許開發(fā)人員和測試人員知道數(shù)據(jù)流是如何通過應(yīng)用程序的�,了解到哪一點是必須確保安全的。
這種練習(xí)的附加好處還有��,它準確地傳達了企業(yè)移動應(yīng)用程序的復(fù)雜性,這幫助團隊成員超越了傳統(tǒng)的思想�,即移動應(yīng)用是小的、簡單的�����。這對于第一代移動應(yīng)用來說����,可能是對的,第一代移動應(yīng)用只執(zhí)行一個簡單的任務(wù)��,而不會能企業(yè)應(yīng)用中訪問數(shù)據(jù)���。但今天開發(fā)的移動應(yīng)用很重要����。圖表方法也允許團隊思考移動應(yīng)用應(yīng)該在哪里存儲數(shù)據(jù)�。對于計劃階段中,討論每一點上的風(fēng)險和好處很重要�,因此在應(yīng)用完成后,進行架構(gòu)修改不僅費時�,而很昂貴。
