行动应用App安全开发指引草案.pdf

行動應用 App 安全開發指引(草 案) 經濟部工業局 中 華民國105年10月 目 次 1.前言 1 1.1.目的 1 1.2. 適用對象 2 1.2.1.中大型組織或開發業者 2 1.2.2. 小型工作室 2 1.2.3.個人開發人員 2 1.3.章節架構 2 1.3.1.第 1章前言 4 1.3.2.第 2章行動應用 App 安全開發概論 4 1.3.3.第 3章安全行動應用 App開發最佳實務 6 1.3.4.第 4章行動應用 App 安全開發生命週期 7 1.3.5.第 5章行動應用 App 安全檢測實務 9 1.3.6.第 6章結語 9 1.4.使用建議 9 1.5.名詞解釋 17 2.行動應用 App 安全開發基本概論 21 2.1.行動作業系統及安全功能簡介 (Android/iOS) 21 2.1.1. Android作業系統安全機制 21 2.1.2. iOS作業系統安全機制 28 2.2.行動應用 App開發環境 (Android/iOS) 41 2.2.1. Android開發環境簡介 41 i 2.2.2. iOS開發環境簡介 49 2.3.行動應用 App資安風險議題 60 2.3.1. OWASP 十大行動安全風險 (Mobile Top 10 Risk) 62 2.3.2.惡意行動應用 App 64 2.3.3. 針對行動應用平台攻擊事件 65 2.4.各國行動應用 App 安全開發要點簡介 68 2.4.1.中國大陸 (China) 69 2.4.2.歐盟 (Europe Union,EU) 75 2.4.3.日本 (Japan) 77 2.4.4. 美國(United States of America, USA) 79 2.4.5. 雲端安全聯盟的行動應用App 安全測試倡議白皮書 81 2.4.6.各國行動應用 App開發實務小結 83 2.5. 我國「行動應用App 基本資安規範」簡介 83 2.6. 我國「行動應用App 基本資安檢測基準」及自主檢驗制度 簡介 86 2.6.1. 「行動應用App 基本資安檢測基準」簡介 86 2.6.2. 「行動應用App 基本資安自主檢測推動制度」簡介 92 3.行動應用 App 安全開發最佳實務 96 3.1. 共通安全開發實務準則 116 3.1.1.行動應用程式發布 (A) 116 3.1.2.行動應用程式更新 (B) 126 ii 3.1.3.行動應用程式安全性問題回報 (C) 133 3.1.4. 敏感性資料蒐集(D) 135 3.1.5. 敏感性資料利用(E) 146 3.1.6. 敏感性資料儲存(F) 162 3.1.7. 敏感性資料傳輸(G) 201 3.1.8. 敏感性資料分享(H) 206 3.1.9. 敏感性資料刪除(I) 210 3.1.10.付費資源使用 (J) 216 3.1.11.付費資源控管 (K) 220 3.1.12.使用者身分認證與授權 (L) 226 3.1.13.連線管理機制 (M) 237 3.1.14. 防範惡意程式碼與避免資訊安全漏洞(N) 252 3.1.15.行動應用程式完整性 (O) 259 3.1.16. 函式庫引用安全(P) 270 3.1.17.使