與web應(yīng)用相比，移動(dòng)應(yīng)用的安全實(shí)踐有什么不同?

我向Jeffery Payne和Dan Cornell問(wèn)了此問(wèn)題，Jeffery Payne是軟件咨詢機(jī)構(gòu)Coveros的CEO，Dan Cornell是位于德克薩斯州，圣安東尼奧的安全咨詢公司Denim Group的總裁。這兩個(gè)位安全專家在最廣泛的意義上，對(duì)安全規(guī)則進(jìn)行了強(qiáng)調(diào)，這些安全規(guī)則既適用web應(yīng)用，也適合于移動(dòng)應(yīng)用開發(fā)項(xiàng)目。

從威脅建模、到源代碼分析和滲透測(cè)試，軟件團(tuán)隊(duì)?wèi)?yīng)該采取措施來(lái)確保應(yīng)用程序的整個(gè)生命周期的安全，包括策劃、編碼、測(cè)試和部署，Payne和Cornell說(shuō)。

但是他們也指出的一些關(guān)鍵的方法，使移動(dòng)應(yīng)用引入新安全挑戰(zhàn)兩位專家對(duì)于應(yīng)用安全的一些看法。

Jeffery Payne：當(dāng)涉及到安全時(shí)，軟件就是軟件，而且運(yùn)用所有平常的規(guī)則。移動(dòng)應(yīng)用改變的一件關(guān)鍵事情是，我們使用它的方式。這應(yīng)用運(yùn)行在智能手機(jī)上，然后我們可以把手機(jī)裝在口袋中，我們走路的時(shí)候也一直帶著它。但我們的手機(jī)很容易丟失或被偷，這是***的安全所在。

也就是說(shuō)，開發(fā)人員要仔細(xì)考慮移動(dòng)應(yīng)用存儲(chǔ)數(shù)據(jù)的方式，這樣當(dāng)有人拿走你的手機(jī)，也不能輕易訪問(wèn)那些數(shù)據(jù)。***實(shí)踐包括加密敏感數(shù)據(jù)——即信用卡號(hào)碼、客戶信息和社交安全密碼。做這些已經(jīng)足夠了，但是移動(dòng)應(yīng)用迫使開發(fā)人員思考移動(dòng)設(shè)備可用環(huán)境下的安全性;屏幕很小，鍵盤受限，用戶一直在使用。我們?cè)绞擎i定安全性，移動(dòng)應(yīng)用就越難以使用。從事web應(yīng)用的開發(fā)人員不必在這個(gè)問(wèn)題上費(fèi)心。

另一個(gè)選擇是將數(shù)據(jù)存儲(chǔ)在隨機(jī)存取存儲(chǔ)器(RAM)，這里應(yīng)用程序可以輕易訪問(wèn)，但卻隱藏于視圖之外。在此情況下，確保應(yīng)用從RAM中自動(dòng)清除數(shù)據(jù)很關(guān)鍵——除去這一點(diǎn)，它幾近***。

Dan Cornell：對(duì)于移動(dòng)應(yīng)用，軟件開發(fā)團(tuán)隊(duì)可以采取的最重要安全措施是，進(jìn)行小組練習(xí)，小組成員映射出移動(dòng)應(yīng)用組件，創(chuàng)建出可視的系統(tǒng)和數(shù)據(jù)庫(kù)的描述圖，移動(dòng)應(yīng)用借此來(lái)彼此溝通?？梢暬姆椒ㄊ欠浅Ｓ行У模?yàn)樗试S開發(fā)人員和測(cè)試人員知道數(shù)據(jù)流是如何通過(guò)應(yīng)用程序的，了解到哪一點(diǎn)是必須確保安全的。

這種練習(xí)的附加好處還有，它準(zhǔn)確地傳達(dá)了企業(yè)移動(dòng)應(yīng)用程序的復(fù)雜性，這幫助團(tuán)隊(duì)成員超越了傳統(tǒng)的思想，即移動(dòng)應(yīng)用是小的、簡(jiǎn)單的。這對(duì)于***代移動(dòng)應(yīng)用來(lái)說(shuō)，可能是對(duì)的，***代移動(dòng)應(yīng)用只執(zhí)行一個(gè)簡(jiǎn)單的任務(wù)，而不會(huì)能企業(yè)應(yīng)用中訪問(wèn)數(shù)據(jù)。但今天開發(fā)的移動(dòng)應(yīng)用很重要。圖表方法也允許團(tuán)隊(duì)思考移動(dòng)應(yīng)用應(yīng)該在哪里存儲(chǔ)數(shù)據(jù)。對(duì)于計(jì)劃階段中，討論每一點(diǎn)上的風(fēng)險(xiǎn)和好處很重要，因此在應(yīng)用完成后，進(jìn)行架構(gòu)修改不僅費(fèi)時(shí)，而很昂貴。