免费加密 免费检测 English
首页(yè)> 安(ān)全资讯 > 分(fēn)享漏洞治理(lǐ)经验,爱加密积极支持移动互联网 App 产(chǎn)品安(ān)全漏洞技(jì )术沙龙!

分(fēn)享漏洞治理(lǐ)经验,爱加密积极支持移动互联网 App 产(chǎn)品安(ān)全漏洞技(jì )术沙龙!

发布时间:2024-08-21
2024年8月8日,中(zhōng)國(guó)软件评测中(zhōng)心(工(gōng)业和信息化部软件与集成電(diàn)路促进中(zhōng)心)、工(gōng)业和信息化部移动互联网App产(chǎn)品安(ān)全漏洞专业库与爱加密成功在重庆联合主办(bàn)了第五期移动互联网App产(chǎn)品安(ān)全漏洞技(jì )术沙龙。
沙龙旨在持续深入贯彻《网络产(chǎn)品安(ān)全漏洞管理(lǐ)规定》,支撑國(guó)家移动互联网App产(chǎn)品安(ān)全漏洞管理(lǐ)工(gōng)作(zuò),深入剖析网络产(chǎn)品安(ān)全漏洞管理(lǐ)重难点问题,引导各单位建设规范有(yǒu)序的漏洞发现、收集、验证修补等漏洞管理(lǐ)机制,切实提高各单位完善和优化漏洞管理(lǐ)工(gōng)作(zuò),防范网络产(chǎn)品安(ān)全风险,促进移动互联网领域网络安(ān)全的蓬勃发展。
作(zuò)為(wèi)CAPPVD支撑单位,爱加密受邀发表专题演讲,由技(jì )术研发总监林魏為(wèi)各大企业安(ān)全部门负责人及厂商(shāng)负责人分(fēn)享《移动互联网APP常见安(ān)全漏洞及技(jì )术应对思路》。
截至2024年上半年,移动应用(yòng)安(ān)全大数据平台收录全國(guó)Android应用(yòng)共计467万款,iOS应用(yòng)共计308万款,微信公(gōng)众号623万个,微信小(xiǎo)程序363万个。近年来Android应用(yòng)新(xīn)增幅度有(yǒu)所减缓,小(xiǎo)程序增幅较大。2024年上半年,全國(guó)总计新(xīn)更新(xīn)、新(xīn)上架的应用(yòng)共计15万款。
爱加密对Android及iOS APP安(ān)全漏洞进行了分(fēn)类,其中(zhōng)Android分(fēn)為(wèi)程序/代码安(ān)全、应用(yòng)及常见组件安(ān)全、数据安(ān)全、业務(wù)风险及安(ān)全漏洞等十大类;风险主要為(wèi)应用(yòng)及常见组件安(ān)全,占49%。
iOS分(fēn)為(wèi)应用(yòng)及代码安(ān)全、数据储存和隐私、代码质(zhì)量和设置、业務(wù)风险及安(ān)全漏洞等九大类;iOS风险主要分(fēn)布在应用(yòng)及代码安(ān)全,占41%。
会中(zhōng)就移动安(ān)全漏洞现状分(fēn)技(jì )术测试、管理(lǐ)措施两大部分(fēn)给出了移动安(ān)全防护建议。
技(jì )术测试层面:
漏洞扫描与渗透测试:利用(yòng)自动化工(gōng)具(jù)对移动应用(yòng)和设备进行代码扫描、端口扫描、漏洞扫描等,及时发现潜在的漏洞问题;  采購(gòu)第三方渗透测试服務(wù)/漏洞挖掘服務(wù),针对于核心资产(chǎn)提供专业级漏洞发现与解决;
安(ān)全加固:对应用(yòng)代码进行加固处理(lǐ),如反编译保护、代码加固、防动态调试等,增加攻击者分(fēn)析和篡改的难度;通过第三方安(ān)全SDK来增强应用(yòng)的运行时环境安(ān)全检测等;
数据加密与传输保护:采用(yòng)强加密算法对敏感数据进行加密存储和传输,确保数据在存储和传输过程中(zhōng)的安(ān)全性;使用(yòng)SSL/TLS等安(ān)全协议建立加密通道,保护数据传输过程中(zhōng)的机密性和完整性。
身份认证与访问控制:要求用(yòng)户设置强密码,并定期更换密码,增加账户安(ān)全性;实施细粒度的访问控制策略,限制用(yòng)户对系统资源的访问权限,防止未经授权的访问。
管理(lǐ)措施层面:
安(ān)全培训与教育:通过安(ān)全教育和培训,提升用(yòng)户对移动安(ān)全漏洞风险的认知和防范意识;对移动应用(yòng)开发者进行安(ān)全开发培训,确保他(tā)们了解最新(xīn)的安(ān)全漏洞和防御措施。
安(ān)全开发规范:明确移动应用(yòng)的安(ān)全要求和规范,包括数据加密、身份认证、访问控制等方面的要求;对移动应用(yòng)进行定期的安(ān)全审核和评估,确保应用(yòng)符合安(ān)全策略和规范要求。
应急响应与处置:制定详细的应急响应预案,明确安(ān)全事件的处理(lǐ)流程和责任人;一旦发现安(ān)全漏洞或安(ān)全事件,立即启动应急响应机制,迅速采取措施进行处置和修复。
第三方安(ān)全服務(wù):与专业的安(ān)全机构合作(zuò),引入第三方安(ān)全测试和评估服務(wù),提升移动应用(yòng)的安(ān)全性;利用(yòng)专业的安(ān)全监控和预警系统,对移动应用(yòng)进行持续监控和预警,及时发现潜在的安(ān)全威胁。
会上对各类型漏洞详情展示了相应实际案例并讲解,内容活动在场专家一致认可(kě),众多(duō)嘉宾拍照留存學(xué)习。
爱加密作(zuò)為(wèi)移动安(ān)全领域知名(míng)厂商(shāng),自2021年CAPPVD成立之初,便受邀成為(wèi)首批支撑单位,多(duō)年来积极分(fēn)享技(jì )术心得与行业数据,广受CAPPVD及行业专家认可(kě)。
爱加密始终以國(guó)家网络安(ān)全发展战略為(wèi)指导,已成為(wèi)國(guó)家信息安(ān)全漏洞库(CNNVD)技(jì )术支撑单位、國(guó)家信息安(ān)全漏洞共享平台(CNVD)技(jì )术支撑单位、工(gōng)业和信息化部移动互联网APP产(chǎn)品安(ān)全漏洞库(CAPPVD)技(jì )术支撑单位。未来将继续配合CAPPVD工(gōng)作(zuò)安(ān)排,共同推动移动互联网安(ān)全产(chǎn)业的发展。

 

加入收藏

上一篇: 喜迁新(xīn)址,筑梦新(xīn)程,乔迁庆典圆满完成,爱加密再启新(xīn)篇..

下一篇: 《证券期货业网络和信息安(ān)全管理(lǐ)办(bàn)法》解读