Day 06. 資安檢測(I) 4.1.1.行動應用程式發布安全

在app發布安全 項目有下列三大項，對開發者看來有些項目似乎有點莫名其妙奇特，不過是要站在這種立場，考慮全面的狀況，所以我們就開始逐步介紹所有檢測項目

4.1.1.行動應用程式發布安全清單列表

• 4.1.1.1.行動應用程式發布 (1項)
  • 4.1.1.1.1.行動應用程式應於可信任來源之行動應用程式商店發布
  • ★ 4.1.1.1.2.行動應用程式應於發布時說明欲存取之安全敏感性資料、行動裝置資源及宣告之權限用途
• 4.1.1.2.行動應用程式更新 （0 項）
  • 4.1.1.2.1.行動應用程式應於可信任來源之行動應用程式商店發布更新
  • 4.1.1.2.2.行動應用程式應提供更新機制
  • 4.1.1.2.3.行動應用程式應於安全性更新時主動公告
• 4.1.1.3.行動應用程式安全性問題回報 (1項)
  • ★ 4.1.1.3.1.行動應用程式開發者應提供回報安全性問題之管道
  • 4.1.1.3.2.行動應用程式開發者應於適當之期間內回覆問題並改善

必要檢測

4.1.1.1.2.行動應用程式應於發布時說明欲存取之安全敏感性資料、行動裝置資源及宣告之權限用途

若行動應用程式已發布，檢查行動應用程式是否於應用程式商店，依實際須要說明欲存取之安全敏感性資料、行動裝置資源及宣告權限用途。

若行動應用程式尚未發布，檢查調查表內是否有說明預計提供欲存取之安全敏感性資料、行動裝置資源及宣告權限用途之說明。

商店的說明頁面，在 App 內使用到的個資、App權限(相機、地理位置...)使用用途需要詳細描述，如何利用資料，以及權限用途等

4.1.1.3.1.行動應用程式開發者應提供回報安全性問題之管道

若行動應用程式已發布，檢查行動應用程式是否於應用程式商店 或行動應用程式內，提供聯絡網頁、留言板、電子郵件、電話或 其他類型聯絡方式，並經測試可實際聯絡成功。

若行動應用程式尚未發布或不公開發布，檢查調查表內是否有說 明預計提供回報安全性問題之管道與聯絡方式。

對於App 有任何的疑問，需要聯絡客服 or 開發者的需要。

因此 可以在商店說明頁面，或 App 內需要提供可以回報的管道

• 商店說明頁面
  • 電子郵件
  • 電話以外
  • Apple Store / Google Play 的評論，要定期回覆
• In App 常見方式
  • 呼叫電子郵件
  • 自建問題回報系統

參考項目 （沒做也不會有問題）

4.1.1.1.1.行動應用程式應於可信任來源之行動應用程式商店發布

建議盡量在 Apple Store 、 Google Play 發佈App，不要在奇怪商店發佈

4.1.1.2.1.行動應用程式應於可信任來源之行動應用程式商店發布更新

同上條，只是一個是針對發佈，此條針對更新

4.1.1.2.2.行動應用程式應提供更新機制

當行動應用程式之程式碼發現有安全性弱點，應提供由可信任來源伺服器端進行更新

可以App 內可以控制強制更新機制，當App 發生問題可以更有效的解決

4.1.1.2.3.行動應用程式應於安全性更新時主動公告

應用程式於有安全性更新時於行動作業系統業者、行動裝置製造業者及行動通信業者提供之行動應用程式商店公告

這點我認為只要是重大更新內容都應該揭露給使用者知曉

4.1.1.3.2.行動應用程式開發者應於適當之期間內回覆問題並改善

當有人回報問題，可能是些閃退或邏輯bug 問題，有些雖然不一定跟安全性相關，卻可以改善App 使用體驗