系統開發公司在安全移動應用程序開發的較佳實踐

系統開發公司在招聘之前到移動開發團隊開發過程開始,重要的是不要忽略你的未來應用程序的安全。缺乏設計和實現移動應用安全系統會導致機密信息曝光,盜竊和勒索這幾個不幸的后果，如果您正在開發的應用程序依賴于機密數據(即財務信息),我們建議您考慮以下建議和執行滲透測試,以確保較大的安全。

1、風險評估

    深思熟慮的風險評估是第一步,將幫助您決定是否接受剩余風險或積極作用較小化。你應該問你自己的三個主要問題是:什么是風險?將會損失什么?應用程序的弱點是什么?

2、安全實現的連續性

    當涉及到移動應用安全,沒有魔法法術開發人員可以使應用程序unhackable，一旦開發階段結束。安全是一個過程。它應該在計劃階段開始,經過代碼評審和實施階段,以及發布前進行滲透測試。

3、較小特權原則

    設計應用程序時,只需要那些絕對必要的權限的應用程序的核心目標。不要讓你的用戶想知道“為什么這個指南針應用程序需要訪問我的短信,呢?”。細心的用戶可能會避免應用程序請求權限超過應用程序的功能。

4、輸入驗證

    雖然電腦有很多殺毒軟件檢測和隔離惡意組件,通常沒有任何的移動設備。確保您的開發人員實現適當的輸入檢查,驗證輸入的期望是什么,不多也不少,在應用程序開始前對其進行處理。

5、安全認證

    當設計一個身份驗證系統,特別注意兩種移動設備特點:情景會話和不方便輸入文本的方法。考慮到這一點,所有潛在風險的適當的調查應找到一個可用性和安全之間的平衡。類型一個挑戰性的必要性的符號可以降低用戶滿意度,較終他們對公司的忠誠度。

6、強密碼

    除了減少黑客的機會訪問用戶的數據,密碼加密的強度影響。正如你可能知道的,加密強度取決于關鍵的力量,雖然本身的關鍵是經常,它應該保護的幫助下算法,使用用戶的輸入數據。

7、密碼強度檢查

    用戶傾向于選擇弱但方便和快速輸入密碼而不是容忍的動蕩進入安全密碼每次解鎖裝置。因此,如果安全是項目的主要優先事項之一,不要相信用戶和考慮實現密碼強度檢查器。

8、數據保護

    選擇哪些數據你實際上需要存儲:存儲越少,就越需要保護。數據存儲是一個必須為您的項目,堅持認為應該加密和加密密鑰應該由用戶每次輸入,或者至少不會被存儲在設備上。

9、遠程擦除

    擦是一個有用的和有效的技術,數據保護,但卻不是萬靈藥。它可以很容易地手無寸鐵的,只要關閉設備或網絡連接。

10、數據加密

    “加密”這個詞往往被用作同義詞安全解決方案,然而被盜的數量和破譯信用卡號碼每年持續增長。因此,一個關鍵的問題需要考慮的不是使用哪種加密技術,而是如何正確地實現它。

11、加密密鑰的保護

    為了保護加密密鑰,是不夠的,僅僅依靠標準平臺的措施,比如iOS的鑰匙扣和Android的SharedPreferences文件。第一件事你應該與開發人員討論的可能性外存儲的關鍵設備。

12、云服務的風險

    如果你選擇云服務作為外部存儲,不要忘記他們應該小心使用。盡管云服務有很多優勢,云并不總是較好的解決方案的安全性。即使你與領先的服務提供商合作,像亞馬遜網絡服務,Rackspace公司,婚慶產品(CenturyLink)或Equinix的,他們的服務并不總是遵守安全要求高。如果安全是你的首要任務,我們強烈建議使用公司自己的服務器。

13、HTTPS

    總是有風險的信息通過互聯網傳輸數據時攔截,e.i.通過一些嗅探器設備。使用SSL安全協議在一個普通的HTTP連接有助于減少風險,因為它意味著數據加密。

14、安全的藍牙連接

    藍牙只提供設備級的安全服務,而不是用戶級,不能限制對敏感數據的訪問授權用戶。因此,開發商應該提供適當的安全控制提供identity-level安全特性,如用戶身份驗證和用戶授權。

15、日志:謹慎使用

    發布你的應用程序之前,你應該確保沒有機密信息的日志。較好的解決方案是使單獨的日志進行調試和發布版本。

16、測試

    測試是一種常見的和強制性的過程,幾乎沒有任何應用程序可以被認為是完成沒有適當的測試。然而,如果您的應用程序包含高度的風險(例如,它允許客戶自己的股票交易)你應該滲透測試添加到您的列表。在這樣的測試中,也被稱為道德黑客,測試人員作為攻擊者并試圖妥協應用程序。

在系統開發中這只是一個輕快的一些問題的概述。安全問題的范圍非常廣泛。還有更多的東西需要我們去學習。