iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 6
0
Security

看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!系列 第 6

Day 06. 資安檢測(I) 4.1.1.行動應用程式發布安全

Day 06. 資安檢測(I) 4.1.1.行動應用程式發布安全

app發布安全 項目有下列三大項,對開發者看來有些項目似乎有點莫名其妙奇特,不過是要站在這種立場,考慮全面的狀況,所以我們就開始逐步介紹所有檢測項目

4.1.1.行動應用程式發布安全清單列表

必要檢測

4.1.1.1.2.行動應用程式應於發布時說明欲存取之安全敏感性資料、行動裝置資源及宣告之權限用途

若行動應用程式已發布,檢查行動應用程式是否於應用程式商店,依實際須要說明欲存取之安全敏感性資料、行動裝置資源及宣告權限用途。

若行動應用程式尚未發布,檢查調查表內是否有說明預計提供欲存取之安全敏感性資料、行動裝置資源及宣告權限用途之說明。

商店的說明頁面,在 App 內使用到的個資App權限(相機、地理位置...)使用用途需要詳細描述,如何利用資料,以及權限用途等

4.1.1.3.1.行動應用程式開發者應提供回報安全性問題之管道

若行動應用程式已發布,檢查行動應用程式是否於應用程式商店 或行動應用程式內,提供聯絡網頁、留言板、電子郵件、電話或 其他類型聯絡方式,並經測試可實際聯絡成功。

若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說 明預計提供回報安全性問題之管道與聯絡方式。

對於App 有任何的疑問,需要聯絡客服 or 開發者的需要。

因此 可以在商店說明頁面,或 App 內需要提供可以回報的管道

  • 商店說明頁面
    • 電子郵件
    • 電話以外
    • Apple Store / Google Play 的評論,要定期回覆
  • In App 常見方式
    • 呼叫電子郵件
    • 自建問題回報系統

參考項目 (沒做也不會有問題)

4.1.1.1.1.行動應用程式應於可信任來源之行動應用程式商店發布

建議盡量在 Apple Store 、 Google Play 發佈App,不要在奇怪商店發佈

4.1.1.2.1.行動應用程式應於可信任來源之行動應用程式商店發布更新

同上條,只是一個是針對發佈,此條針對更新

4.1.1.2.2.行動應用程式應提供更新機制

當行動應用程式之程式碼發現有安全性弱點,應提供由可信任來源伺服器端進行更新

可以App 內可以控制強制更新機制,當App 發生問題可以更有效的解決

4.1.1.2.3.行動應用程式應於安全性更新時主動公告

應用程式於有安全性更新時於行動作業系統業者、行動裝置製造業者及行動通信業者提供之行動應用程式商店公告

這點我認為只要是重大更新內容都應該揭露給使用者知曉

4.1.1.3.2.行動應用程式開發者應於適當之期間內回覆問題並改善

當有人回報問題,可能是些閃退或邏輯bug 問題,有些雖然不一定跟安全性相關,卻可以改善App 使用體驗


上一篇
Day 05. 暈頭轉向資安檢測項目表,看完了還是有沒有懂
下一篇
Day 07. 資安檢測 (II) 4.1.2 安全敏感性資料保護
系列文
看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!31

尚未有邦友留言

立即登入留言