持續應用安全(CAS)研討之:移動應用安全測試
持續應用安全(CAS)是數世咨詢在軟件供應鏈安全研討會上首次提出的解決我國軟件供應鏈安全問題的新思路。CAS專注于保障數字化應用的,源代碼階段——構建部署階段——上線運行階段,全流程的安全狀態。CAS可以通過安全能力高度融合和安全數據關聯分析的方式,經由統一調度管理形成體系化的解決方案,以達到幫助用戶減少資源投入、整合安全能力和提升安全效率的目的。
持續應用安全(CAS)研討系列文章的主要目的是,通過CAS核心能力提供者對CAS的研究,從不同的角度解讀CAS,共同推進CAS的落地進程。CAS已經得到比瓴科技、酷德啄木鳥、思客云、孝道科技、四維創智、邊界無限、云智信安、云起無垠等核心能力提供者的認同,目前已推出七篇文章:
本文是該系列最后一篇文章。后續我們會開展更多的關于CAS的研討內容,如CAS白皮書、CAS標準化、CAS最佳實踐等,歡迎讀者共同參與探討。
CAS是安全能力原子化概念的延深與擴展,通過離散式制造、統一式交付、集中式管理、智能式應用的方式使安全能力可持續發展,保障數字化應用的構建、上線和運營全流程的安全狀態。
CAS中每一個原子化的安全能力只需完成最小化且有意義的安全控制或操作;對客戶層面展現出的特征是高度的集成、一體化的平臺、多源的異構協同和多場景的靈活組合與能力編排;對能力內部展現出的特征是內部“開源”,各個原子化的技術可實現排列組合式對接,為客戶不同的業務場景、業務邏輯可動態且靈活快速的做出響應與調整,提升可持續性安全能力。
對于CAS來說,我們認為可以給客戶提供更頂尖、更迅速、更靈活、更多樣的持續安全能力,各個頂尖安全能力的原子化、內部的“開源”融合、原子化能力的排列組合的特性可真正實現符合業務特性的安全能力。
CAS之移動應用安全測試
移動應用安全測試可通過一體化平臺的自動化編排能力嵌入到DEVOPS的CI/CD流程中,輸出相應的CAS數據形成統一的分析。移動應用風險與合規檢測能力必將成為CAS關鍵的一環,形成可持續的安全檢測識別能力。
移動應用安全測試分為業務風險的檢測與信息合規性的檢測,從業務風險檢測來說主要是通過一系列的分析和測試,最大限度發現移動應用中存在的技術和業務層面的安全問題,并指導開發人員進行安全問題修復,保障移動應用安全、穩定、可靠、持續運行。信息合規性檢測是通過技術檢測手段識別移動應用的“個人信息使用”、”身份認證權限“等內容。
先來談一談移動應用風險識別檢測,APP業務風險的識別能從業務、技術、管理層面提升移動應用的合規和風險管理能力,從業務層面來講:確保客戶移動應用的安全得到及時有效的修復,保障移動APP客戶的個人信息安全、財產安全、移動終端安全以及移動APP業務的穩定,持續運行;從技術層面來講:可全面了解移動APP各類風險、提升移動APP多層面的安全性、降低安全漏洞風險,規避各類損失、使應用終端符合國家以及行業安全性合規要求;從管理層面來講:協助客戶發現組織內部的安全最短板,分析企業目前的安全瓶頸,幫助組織管理者了解目前安全狀況,從而增強信息安全的認知,提升內部安全能力。
再來說一說移動應用信息合規檢測,近幾年,工信部不斷開展推進APP侵害用戶權益專項整治行動,整治對象包括三大類,即APP服務提供者(即應用軟件,包括快應用和小程序等新應用形態)、軟件工具開發包(SDK)提供者、應用分發平臺;同時有許多典型問題:“私自收集個人信息”、“超范圍收集個人信息”、“私自共享個人信息給第三方”、“強制用戶使用定向推送功能”等。那么在大數據時代,每一個人在互聯網中的畫像都是“數據化”的,作為CAS中關鍵的一環,形成完善的合規檢測體系,切實保障用戶信息安全,為APP健康發展保駕護航是移動檢測部分的重要任務,通過CAS的也必將提高移動應用的合規性和信息處理的合理性。
總之,隨著物聯網、通信技術的發展,移動應用也會成為安全的“風口浪尖”,那么CAS正是目前能夠保障數字化應用的構建、上線和運營全流程的安全狀態的最佳路徑和方式,是應用真正需要的持續安全,其中移動移動應用安全測試也會成為持續安全的關鍵過程。
云智信安的移動應用安全測試能力
云智信安的檢測能力和相關平臺,可有效結合CAS中各類安全能力,為客戶不同的業務場合和業務邏輯可動態調整檢測手段和方式,賦能持續安全的目標。
移動應用脆弱性檢測能力
脆弱性檢測層面,云智信安結合自研的紅隊武器庫系統,將攻擊工具進行匯總實現統一,采用靜態分析和動態分析的檢測方法有效的提升移動應用的脆弱性檢驗能力,從客戶端和服務端全方位識別移動應用的安全風險問題,達到持續安全的目標。
移動應用個保檢測能力
云智信安基于對移動應用安全的專注研究和技術積累開拓研發出了APP個人信息保護指數檢測平臺,通過對移動應用中的合規性檢測結合APP專項治理工作組的投訴平臺信息,對移動應用中直接影響個人信息收集的指標項賦值,根據模型計算出APP個人信息保護指數,并以量化方式呈現的一款系統,為app專項治理工作組提供了技術支撐,為廣大網民下載使用APP提供直觀參考,為APP運營與創新提供合規指引。
