蘋果公司最近開始通知部分移動應用開發人員,稱其違反了蘋果的使用條款,主要是因為這些開發人員通過rollout.io或者jspatch框架使用熱修復。
當蘋果允許這種型別的修復時,可能沒有考慮惡意開發者濫用的情況。鑑於移動應用使用者的總數,這只影響著相對較少的開發人員,但這是蘋果為最大限度減少總體風險作出的業務決策。
不過,筆者並不認為蘋果公司可以確保他們可通過這個流程找到每個應用中的每個漏洞。通過消除熱修復,筆者認為他們將不得比進行更多安全檢查來追蹤移動應用漏洞。然而,考慮到我們仍然面臨的所有基本計算機和資訊漏洞,與熱修復相關的任何漏洞利用都可以不再考慮。
在企業安全方面,需要考慮以下幾個方面:
1. 在您的移動應用開發生命週期已經構建或者需要構建的安全級別。移動應用屬於您的傳統軟體開發生命週期控制嗎?誰定義標準和威脅建模?
2. 適用於您環境中使用的移動應用的審查級別,特別是用於核心業務目的的移動應用。它們有風險嗎?是否使用checkmarx和nowsecure等**商的工具測試安全漏洞?
3. 在byod和移動應用使用方面使用者允許做出的決定。這種影子it如何影響著攻擊面或者提高業務風險級別?
4. 您的環境中移動和移動應用監控和警報數量。您能否檢測到受攻擊的應用或者惡意網路流量?一旦發現,您的計畫是什麼?
5. 您的整個網路安全架構,包括虛擬區域網、訪客無線網路和雲服務。如果易受攻擊的移動應用被利用,您的生產環境關鍵部分將如何受到影響?
筆者很欣賞rollout.io等公司的開發人員和工作人員為確保移動應用體驗更好更安全所做出的努力。畢竟蘋果消除熱修復的決定肯定會帶來一些不好的影響,並且,可能會影響移動應用開發和支援生命週期的效率和安全性。rollou.io已經提出基於證書的解決方案,這可能幫助大家找到舒適的中間地帶。
無論事情最終發展如何,也無論您是關注應用安全還是資訊保安,都應該關注這個問題及其結果。
Android 應用熱修復工具 AndFix
url andfix 是阿里巴巴開源的 android 應用熱修復工具,幫助 anroid 開發者修復應用的線上問題。andfix 是 android hot fix 的縮寫。andfix 支援 android 2.3 6.0,arm 和 x86 架構,dalvik 執行時和 art 執行時。and...
傳統企業移動應用的思考
移動網際網路的大潮說來就來了,作為在傳統的製造業企業中搞it的我們,還真有些措手不及,雖然我們也能看到這個趨勢,但有限的精力和能力,依然讓我們感到有些力不從心。但作為it人,永遠都不會停止向前的腳步,就像摩爾定律,需要不斷地加速。作為傳統製造業,經過若干年的資訊化建設,主要業務流程都已轉變為系統導向...
打造企業移動應用的4個工具
平台 iphone,ipad,android,html5 iphone上每月39美元,要做ipad,android和html5上的應用每月加10美金。2.mobiflex mobiflex,儘管並不是最漂亮的應用製造者,但其整合了後端資料來源,並且結合了許多功能到本地應用中,如手機攝像頭,語音識別以...