移动应用开发给企业带来了全新的问题,特别是在软件安全领域。通常应用商店的开发人员可能会担心代码被盗,然后被反向编译。这对于花费大量时间和资源创建出应用的个人开发人员或者小型团队而言无疑是灭顶之灾。但是最终分析表明,通常应用本身只能带来数千美元的利润,即使有什么问题带来的损失也不是很大。相比较而言,不安全的应用对于企业级公司而言,可能会造成的敏感信息丢失,资产的被盗或者客户个人和财务数据信息的泄露,这些所导致的损失则会达到百万甚至数十亿美元。不幸的是,很多企业刚刚第一次尝试构建移动应用——他们可能还没有意识到这么小的应用程序上的错误可能会导致的严重后果。
更大不意味着更安全
企业过去通常严格控制它们的基础架构。Dan Cornell,Denim Group的CTO,提及一种常见的和安全性错误认知相关的缺陷。”移动应用的安全的确非常重要,因为不仅仅要考虑到设备上的代码。你在改变你的系统。在基于Web的系统上会出现这样的情况,”这里是我的代码,这里是我的系统,系统在服务器端,但是攻击者在防火墙的另一边。“
“而移动应用,”他补充道,“你需要将一些计算和数据放到不受信任的设备上。这些设备可能会被盗,也可能被root了,可能会在eBay上出售或者发生任何其他情况。这些都使得保证移动应用的安全性非常复杂。”
当想要安全保护移动应用时,很多细节需要考虑。在服务的交互端口最容易产生问题。根据Cornell所说,”这不仅仅有关于在设备上运行的代码,还有关于支持设备代码的在企业Web服务上运行的代码,还有关于移动应用程序调用的第三方服务的代码。我们观察到的最严重的问题存在于这些不同组件的交互部分。“
数据保护需要持续投入
数据泄露对于移动应用而言是个很严重的问题——可能以很多方式发生。这是Gartner的一名分析师Van Baker的观点。数据传输,存储和使用都可能引入风险。”一方面,需要认证请求进入的用户,因为他们还没有进入你的网络。他们通过公开的移动电话网络进入,因此必须确保他们的确是你想要给予权限访问公司系统的用户。这是第一层次的挑战,能够通过活动的目录实现或者LDAP实现来完成认证。“
小编推荐阅读
