網際網路公司的安全體系基本上以運維安全、應用安全、業務安全三管齊下
簽名管理
對于應用開發方,應該保護好本公司用于應用簽名的私鑰,推薦的解決方案是建立簽名伺服器,開發者上傳需要簽名的應用,伺服器完成簽名提供下載下傳。這樣可以對申請應用簽名的人員進行權限控制,并包含日志記錄,儲存上傳應用副本等功能,這樣做的好處是降低私鑰洩漏的風險
同一家公司内的應用推薦使用相同的簽名密鑰,避免不同的應用使用不同的簽名
應用沙盒與權限
安卓和 iOS 其中重要的一點是通過沙盒對各應用間的權限隔離,并在限定應用行為邊界後,通過按需申請應用權限的方式規範各應用的行為
是如何實作沙盒的?安卓和 iOS 核心都源自 *nix 類系統核心,對應用沙盒的技術實作都是基于作業系統提供的使用者機制。每個在系統上安裝的應用,如果沒有特殊設定(SYSTEM 或者安卓中 SHARED-UlD 模式),都會有系統配置設定給應用一個獨特的使用者 ID(UID),單憑該 UID,應用無法使用任何應用外的裝置資源。隻有當應用在安裝時預先申請
了某些系統權限後,才會被準許進行權限對應的操作
安全評估
代碼審計
iOS 開發 Xcode 環境可使用整合的 Clang Static Analyzer,而安卓 Java 代碼可以使用 FindBugs 來完成代碼安全審計
應用加強
目前有一些線上的應用安全加強服務,使用者上傳需要加強的應用,伺服器接收應用從安全、逆向、調試難度等方面對應用進行評估
![《富爸爸窮爸爸》書摘-關注自己的事業[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)