【51CTO.com原創(chuàng)稿件】最近被炒的很熱的“iOS爛大街”風(fēng)波還未平息，Android安全話題又被推向了風(fēng)口浪尖，小程序又借勢在中國掀起一篇驚濤駭浪，前途未卜。移動領(lǐng)域在近期動作頻繁，究竟是市場導(dǎo)向還是技術(shù)改革導(dǎo)致？這個(gè)話題我們無法一筆定論，因?yàn)椴煌嵌扔胁煌目捶ǎ煌艘灿胁煌^點(diǎn)。

簡單回顧一下整個(gè)移動開發(fā)領(lǐng)域的發(fā)展過程，iOS出現(xiàn)于2007年，Android誕生于2008年，而通常在國內(nèi)的開發(fā)技術(shù)會晚3年左右，所以，國內(nèi)的移動技術(shù)發(fā)展基本是從2010、2011年左右開始，在2012，2013兩個(gè)系統(tǒng)達(dá)到熱潮，2015年慢慢回落。

而面向企業(yè)的移動業(yè)務(wù)一般在2012年左右得到開辟，2013年左右已經(jīng)成型了，2014之后已經(jīng)很大程度上停在了拓展和維護(hù)上，基本很少看到產(chǎn)品的創(chuàng)新。在2013年創(chuàng)業(yè)潮其實(shí)也帶來了一些新的移動產(chǎn)品，不過令人遺憾的是從2015年之后，只有一小部分的明星創(chuàng)業(yè)產(chǎn)品得到了收益，很多創(chuàng)業(yè)公司都相繼倒閉。

如今，在移動APP需求上也僅剩下中小企業(yè)當(dāng)中的一些政府項(xiàng)目，以及傳統(tǒng)行業(yè)的需求，再者就是目前比較流行的IOT移動端開發(fā)。對于個(gè)人開發(fā)者和初創(chuàng)公司，客觀從2012年左右移動開發(fā)門檻是最低的，不過學(xué)習(xí)成本和推廣成本相對增加。相反，在2014年以后，互聯(lián)網(wǎng)行業(yè)移動項(xiàng)目持續(xù)增長，門檻相對比以往提高了，但是學(xué)習(xí)成本相對降低，有不同的途徑自我學(xué)習(xí)，或者選擇第三方去完成主要開發(fā)工作。

[[187721]]

飽和的移動應(yīng)用市場

在移動領(lǐng)域，終究還是理性戰(zhàn)勝了感性。對于目前來說，移動APP的推廣成本遠(yuǎn)遠(yuǎn)大于開發(fā)成本，也許是因?yàn)榍败囍b，開發(fā)者在開發(fā)APP上線時(shí)，在運(yùn)營、推廣成本的壓力上，基本都是知難而退。而對于有需求的企業(yè)，類似教育、直播、IOT這種業(yè)務(wù)驅(qū)動型的應(yīng)用反而較為熱門，據(jù)APICloud CTO鄒達(dá)介紹，每天在APICloud上的需求就有幾十個(gè)，整個(gè)定制平臺每個(gè)月差不多有二十多個(gè)項(xiàng)目在實(shí)施。而對于個(gè)人、初創(chuàng)企業(yè)、或者憑著idea等方式開發(fā)移動APP的用戶越來越少，因?yàn)闆]有業(yè)務(wù)的結(jié)合、完全憑一個(gè)idea，沒有任何的經(jīng)驗(yàn)或者資源，基本上已經(jīng)沒有存在。

物聯(lián)網(wǎng)在2017年重圍主要趨勢

但是這兩年由于小程序、流應(yīng)用、微應(yīng)用的爆發(fā)又重新點(diǎn)燃了開發(fā)者的熱情，不但解決了技術(shù)學(xué)習(xí)成本的問題，在運(yùn)營推廣上，又有了全新的模式。這似乎對于開發(fā)者來說，確實(shí)有很強(qiáng)的誘惑力。無論是唱好唱衰，這些開發(fā)模式最終還是要結(jié)合業(yè)務(wù)，對于僅有idea的開發(fā)者來說，沒有任何的基因去建立一個(gè)服務(wù)用戶的紐帶，第二是對于初創(chuàng)企業(yè)，在移動APP的開發(fā)需求、業(yè)務(wù)結(jié)合、客戶對接上存在很多缺口，很難一步到位。

鄒達(dá)也表達(dá)，APICloud從去年6月份開發(fā)到現(xiàn)在，沒有任何一個(gè)客戶想做小程序應(yīng)用。從每個(gè)月差不多的20多個(gè)項(xiàng)目中，包括他們評估的小程序需求比例還不到1%。這也是由于需要緊密結(jié)合應(yīng)用場景，主要的優(yōu)勢在業(yè)務(wù)之上，并非用來保存APP內(nèi)容或者功能的體現(xiàn)。

模塊定制為移動APP開啟新模式

從2016年開始，一些前端框架已經(jīng)趨于穩(wěn)定，我們可以看到諸如 React 這樣的框架在一些大型項(xiàng)目中的采用。除了這些常規(guī)的移動 Web 應(yīng)用，在去年九月底微信小程序的火熱，通過激活線下流量，連接線下場景，開啟了移動 Web 的一扇新門；Google 推出的 PWA 也讓越來越多的開發(fā)者看到了轉(zhuǎn)型移動 Web 的更多可能性。從技術(shù)的角度，在移動上前端技術(shù)代替原生的趨勢不可避免，包括H5、跨平臺、JavaScript都會慢慢取代整個(gè)開發(fā)模式的轉(zhuǎn)型。

但是從產(chǎn)品的角度，整個(gè)APP的形態(tài)、商業(yè)模式卻很難撼動。恰好在2016年，資本寒冬席卷了整個(gè)互聯(lián)網(wǎng)市場，創(chuàng)業(yè)者和企業(yè)如何從產(chǎn)品和商業(yè)模式的角度如何用合理的成本，在更短的周期內(nèi)去驗(yàn)證創(chuàng)新的想法變得更加重要。“省”字當(dāng)頭，“省時(shí)間”更是重中之重。APICloud鄒達(dá)認(rèn)為移動應(yīng)用市場從自主研發(fā)到App定制服務(wù)平臺的轉(zhuǎn)型正是充分發(fā)揮快速開發(fā)的優(yōu)勢，幫助這些創(chuàng)新從想法變成現(xiàn)實(shí)。

“App定制平臺”的多重優(yōu)勢還解決了很多傳統(tǒng)App定制服務(wù)的痼疾，通過“溝通不暢”“實(shí)施過程不透明”“失敗風(fēng)險(xiǎn)高”“開發(fā)周期長導(dǎo)致無法挽回”“實(shí)施方能力弱”等等幾個(gè)方面解決了中小企業(yè)和初創(chuàng)企業(yè)開發(fā)需求的問題：

1、 標(biāo)準(zhǔn)化技術(shù)：采用標(biāo)準(zhǔn)化的開發(fā)技術(shù)，實(shí)現(xiàn)高效率、低投入的開發(fā)模式。

2、 官方簽約保上線：嚴(yán)格把控項(xiàng)目質(zhì)量和開發(fā)周期，承諾每一個(gè)項(xiàng)目順利上線至蘋果和各大安卓應(yīng)用市場。

3、 專業(yè)的管理體系：定制服務(wù)將App開發(fā)分為需求預(yù)評估、產(chǎn)品原型設(shè)計(jì)、UI設(shè)計(jì)、App端開發(fā)、服務(wù)端開發(fā)、接口聯(lián)調(diào)、測試及驗(yàn)收7個(gè)階段。

4、 完善的溝通方式：企業(yè)客戶與項(xiàng)目負(fù)責(zé)人通過視頻會議的方式進(jìn)行交流，便捷、高效、可視化。

5、 嚴(yán)格的驗(yàn)收體系：通過開發(fā)團(tuán)隊(duì)嚴(yán)格按照標(biāo)準(zhǔn)化驗(yàn)收體系，將前后端源代碼、需求文檔、設(shè)計(jì)文檔、操作說明、測試報(bào)告等十幾項(xiàng)交付物完整遞交給企業(yè)客戶，方便項(xiàng)目的更新迭代。

安全隱患日益凸顯

盡管APP定制服務(wù)在整個(gè)過程中的安全得以保證，但是網(wǎng)絡(luò)速度正在變得越來越快，基于HTML5開發(fā)的跨平臺應(yīng)用也越來越多，背后隱藏的代碼盜取問題也越來越嚴(yán)重，安全在今年的移動開發(fā)領(lǐng)域一直擁有極高熱度。

根據(jù) Gartner 的預(yù)測，75％ 的移動 app 甚至沒有通過基本的安全測試

而蘋果與FBI之間的激烈沖突也再次強(qiáng)調(diào)了保護(hù)用戶隱私的重要意義。大型企業(yè)開始將重點(diǎn)轉(zhuǎn)向提升核心組成部分的安全水平，蘋果公司亦在WWDC大會上宣稱其將在硬件層面確保設(shè)備擁有完整的安全防護(hù)機(jī)制。另外，加密機(jī)制在這一年中同樣受到重視。

而目前很多企業(yè)所使用的代碼保護(hù)解決方案中，對于網(wǎng)頁代碼保護(hù)的方式更是治標(biāo)不治本，無法從根本上去實(shí)現(xiàn)真正的代碼加密。

1、 JS、CSS代碼壓縮

通過互聯(lián)網(wǎng)上提供的CSS、JS壓縮工具，只起到了減少文件體積、提高加載速度，能夠提升程序的執(zhí)行性能，但是根本做不到加密，開發(fā)者完全可以利用很多方式進(jìn)行還原。

2、 混淆HTML、JavaScript、CSS代碼實(shí)現(xiàn)保護(hù)

這是最通常使用的方法，有很多代碼混淆工具，如Packer、Javascript Compressor、JSObfuscator等，幫助開發(fā)者保護(hù)代碼，然而代碼混淆后會降低程序的執(zhí)行性能。同時(shí)也不乏一些代碼格式化工具的存在，如JSBeauty、VS的Javascript編輯器等，用工具將混淆的代碼重新格式化后，代碼全部恢復(fù)為明文，無法做到代碼版權(quán)保護(hù)。

3、 僅對HTML文件加密，而對JavaScript和CSS文件不加密

僅對App中的HTML文件進(jìn)行加解密處理是比較容易實(shí)現(xiàn)的，HTML文件可以經(jīng)過加密后保存在App安裝包中，而應(yīng)用引擎在將HTML文件交給瀏覽器引擎解析之前可以先對加密的HTML文件進(jìn)行解密，然后再將解密好的HTML文件交給瀏覽器解釋執(zhí)行，而在整個(gè)瀏覽器執(zhí)行過程中，對JavaScript和CSS文件的解密處理時(shí)機(jī)還是比較難控制的。但是在一個(gè)實(shí)際App項(xiàng)目中，大量的功能實(shí)現(xiàn)都是放在JavaScript文件中的，所以，這種局部加密的方式還是存在較大的局限性。

4、原生應(yīng)用的代碼加固和加密廠商

由于Android應(yīng)用使用Java語言開發(fā)，Java語言存在可以反編譯源碼的問題，所以行業(yè)中針對apk出現(xiàn)了加固、加殼產(chǎn)業(yè)，很多廠商可以提供加固服務(wù)，比如360、梆梆安全等加固產(chǎn)品。然而應(yīng)用加固通常只能對原生代碼進(jìn)行加密加固保護(hù)，不能對HTML、JavaScript、CSS等網(wǎng)頁代碼進(jìn)行加密保護(hù)。

鄒達(dá)認(rèn)為，無論應(yīng)用如何進(jìn)行加密，都很難保證絕對的安全，但是起碼在自己的平臺上做APP，起碼要把我們能想到的都應(yīng)該有相應(yīng)的機(jī)制。

第一， 代碼安全，因?yàn)槟壳盎旧洗蟛糠值囊苿討?yīng)用都基于H5開發(fā)；

第二， 數(shù)據(jù)安全，保護(hù)應(yīng)用所有數(shù)據(jù)的穩(wěn)定性；

第三， 功能安全，針對API的調(diào)用和控制，包括大企業(yè)API調(diào)用的限制。

而對于移動安全問題，蘋果在去年也通過了禁止JSPatch熱修復(fù)框架，其原理是通過JS腳本調(diào)用和替換任意OC方案，達(dá)到bug修復(fù)的目的。也許是為了提升安全和可控性問題，采用JSPatch熱修復(fù)框架后，這種安全和可控性正在被挑戰(zhàn)。

摘掉主流移動開發(fā)安全的帽子

通過代碼加密功能可以從HTML源頭開始，鄒達(dá)給出了基于RC4加密算法提出了一套“全包”對稱加密解決方案，可以在云編譯的時(shí)候?qū)Π惭b包中的HTML、CSS、JS代碼進(jìn)行加密處理，從HTML5移動應(yīng)用開發(fā)的源頭開始，很大程度的保護(hù)源代碼的知識產(chǎn)權(quán)。

1、一鍵加密，運(yùn)行時(shí)解密：開發(fā)者只需要在APICloud上編譯時(shí)選擇代碼加密，云服務(wù)器在編譯App安裝包時(shí)就會將該App的HTML、JavaScript、CSS代碼自動加密，同時(shí)該App在運(yùn)行過程中實(shí)時(shí)解密，App退出即焚，不留下解密痕跡；

2、零修改，零影響：APICloud的加密方式不改變代碼量大小，不影響運(yùn)行效率，針對代碼的加密方案不會修改開發(fā)者的任何代碼，加密后的代碼不會比加密前多出一個(gè)字節(jié)，同時(shí)，端底層嵌入了特殊的處理方案，保證代碼加密前后，App的運(yùn)行效率、使用體驗(yàn)不受影響；

3、自動，智能，方便：開發(fā)者在APICloud平臺開發(fā)App的過程中，無需針對代碼的保護(hù)做特殊的處理，按照正常的開發(fā)流程進(jìn)行即可；

4、安全盒子：在保護(hù)開發(fā)者代碼的同時(shí)，針對App的各種潛在安全問題，APICloud定義了一個(gè)“安全盒子”，僅對盒子內(nèi)代碼進(jìn)行加解密保護(hù)，盒子外代碼靈活處理；

5、重新定義資源標(biāo)準(zhǔn)：APICloud底層在處理被保護(hù)代碼時(shí)，重新分配了App資源的使用方式，統(tǒng)一資源管理，實(shí)現(xiàn)加速資源加載，節(jié)省系統(tǒng)開銷，因此，加密代碼后的App在運(yùn)行過程中甚至能提速運(yùn)行；

加密前

加密后

我們相信，這種代碼加密的形態(tài)也會成為未來行業(yè)內(nèi)非常重要的規(guī)避盜版的方式。

全端進(jìn)入HTTPS協(xié)議的使用

除去上面這些內(nèi)部因素，移動 Web 應(yīng)用還飽受外部因素困擾。在2016年，我們發(fā)現(xiàn)越來越多的移動站點(diǎn)正深受運(yùn)營商劫持的影響，由于 HTTP 協(xié)議是明文的，而流量都要經(jīng)過運(yùn)營商，因此運(yùn)營商可以輕而易舉地在頁面中植入廣告。這時(shí)，解決問題的有效辦法就是全站使用 HTTPS。

鄒達(dá)認(rèn)為，現(xiàn)在移動端基本都走HTTPS服務(wù)器，支持和雙向或者單向加密，通過握手階段用來建立SSL/TLS連接，達(dá)到對通信加密效果。SSL/TLS協(xié)議是為了解決這三大風(fēng)險(xiǎn)而設(shè)計(jì)的：所有信息都是加密傳播，第三方無法竊聽；同時(shí)具有校驗(yàn)機(jī)制，一旦被篡改，通信雙方會立刻發(fā)現(xiàn)；配備身份證書，防止身份被冒充。

互聯(lián)網(wǎng)是開放環(huán)境，通信雙方都是未知身份，這為協(xié)議的設(shè)計(jì)帶來了很大的難度。而且，協(xié)議還必須能夠經(jīng)受所有匪夷所思的攻擊，這使得SSL/TLS協(xié)議變得異常復(fù)雜。

HTTPS對于HTTP來說確實(shí)是安全的多，但是由于握手機(jī)制會導(dǎo)致速度有些緩慢，但是鄒達(dá)認(rèn)為，第一次握手會稍微慢點(diǎn)，但是過后就比較非?？?。很多大企業(yè)以及內(nèi)部都在使用，都是私有云，相當(dāng)于每個(gè)應(yīng)用都綁定了證書，而銀行等金融行業(yè)，基本都是購買CI認(rèn)證的證書。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】