移动应用安全最佳实践应用

发布时间：2022-11-22 12:55:02 所属栏目：应用来源：

导读：　　移动应用安全的最佳实践确保应用无风险，不会泄露用户的个人信息。对于开发人员来说，确保在将应用程序上传到应用程序商店以供公众使用之前执行所有安全检查非常重要。面向公众的应用程序通常是客户与组织之间的

　　移动应用安全的最佳实践确保应用无风险，不会泄露用户的个人信息。对于开发人员来说，确保在将应用程序上传到应用程序商店以供公众使用之前执行所有安全检查非常重要。面向公众的应用程序通常是客户与组织之间的唯一通信桥梁，是黑客的主要目标。大多数面向公众的应用程序的设计都牢记它们必须与市场上的几乎所有设备兼容。但是，这种方法使应用程序容易受到攻击和操纵。开发人员必须保持最严格的过滤机制移动应用安全，同时构建能够阻止任何可能攻击的防水应用程序。

　　风险分析

　　为了将特定警告归零，开发人员可以运行威胁建模练习。依靠移动应用程序开展业务的组织面临的最常见风险如下：

　　·数据泄漏：具有多孔防火墙的应用程序始终面临被可获取机密数据（例如支付凭证、系统密码和 PIN）的不法分子破坏的风险。一旦防火墙被穿透，恶意软件也可以被注入到设备中。·基础设施暴露：对于移动应用程序和组织的后端服务之间的通信，可能需要共享资源，例如第三方 API。如果不仔细监控 API 集成过程，不仅会危及设备中的用户数据，还会危及服务器级别的安全性。·诈骗：任何为进行金融交易而开发的移动应用程序都将始终处于欺诈者的视线之下。当应用程序使用敏感数据时总是存在一些风险，例如支付凭证、PIN 以及与应用程序和信用卡相关的密码等。不法分子拥有各种攻击方法，例如通过恶意软件抓取短信、脚本注入和重新打包，总是在徘徊。·法规和指南：所有应用程序都必须在法律和社会框架内运行，违反它们可能会招致法律诉讼。例如，通用数据保护条例和修订后的支付服务指令是适用于欧洲国家运营的一些法规，而在全球范围内还有其他几项准则适用。

　　正确的架构

　　首先要考虑的是应用程序是在商业商店发布还是通过组织的分发渠道传播。通过私人运营商分发的应用程序不太可能面临逆向工程等威胁，这已不是什么秘密。有多种机制可用于确保应用程序安全，例如通过 UEM 和独立解决方案进行的应用程序管理。目前，可用于移动应用程序开发的架构选项有三种：原生、混合和纯基于 Web。所有选项都有其优点和缺点，人们必须牺牲安全性或性能。例如，将组织的 Web 应用程序转换为移动应用程序并不难，但是对应用程序的缓存内容进行加密成为一项耗时且成本高昂的工作。如果为了提高安全性而更频繁地减少和丢弃缓存内容，则可能会对应用程序的性能产生不利影响。在接受架构调用之前，应牢记这些因素。开发人员需要考虑的另一点是选择设备端或服务器端检查。黑客通常倾向于通过修补应用程序或设备来突破设备安全墙。

　　例如，越狱设备可以嘲笑本地检查机制。一刀切的方法可能不适用于应用程序开发。某些应用程序可能需要服务器端控制，而对于其他应用程序，设备检查可能效果更好。

　　本机应用程序开发为操作软件平台的所有本机安全潜力打开了大门。由于它们依赖于操作软件的 API，因此它们往往工作更顺畅。流行的操作软件 Android 和 iOS 都已经制定了开发人员可以遵循的最佳实践指南。这些原生环境能够满足基本和高级要求。但是，在原生开发过程中，需要持续两个独特的应用版本。这些原生环境支持从简单的功能（例如身份验证和加密）到复杂的设备证明和凭证存储等功能。虽然对于有竞争力的应用程序本地路由似乎是理想的，但对于其他应用程序，混合架构可能被证明是一个更可行的选择。混合架构允许使用跨平台框架，如 Xamarin 和 Flutter。可以使用本机工具执行混合应用程序中的敏感活动。

（编辑：百客网 - 域百科网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!