新威胁驱动下的APP安全评估能力实践.docxVIP

新威胁驱动下的APP安全评估能力实践 移动互联网时代，新威胁不断升级，安全问题频发，面对用户对手机APP安全性的更高要求，和更严格的安全性监管，需要构建高效完备的安全评估能力，以期全面提升自动化安全检测覆盖度与准确率。分为四个方面： 1. 智能终端APP新威胁与安全评估 2. DevSecOps与安全评估 3. 安全评估效率与质量提升实践 4. 总结 1?智能终端APP新威胁与安全评估 （1）基础安全风险项 说起Android移动端安全评估，下面这些项经常出现在Android安全评估入门学习列表以及乙方安全公司检测评估报告中 弱加密算法 密钥硬编码 本地拒绝服务 SharedPrefs任意读写 PendingIntent误用风险 AndroidManifest文件配置错误 Zip文件目录遍历 端口监听 本地SQL注入 Java代码未混淆 敏感函数调用 动态注册广播 Provider文件目录遍历 Webview明文保存密码 组件导出 ... 这些基础安全风险项时至今日仍然很重要： 基础的安全风险项可能会导致更严重的安全漏洞，很多公司把这些项梳理成checklist，做为安全基线执行 客户特别是国外客户提出的安全需求也会涉及到上述测试项 国内外测评机构用这些项来衡量代码安全质量 获取安全认证时，上述部分项是必须满足项 上述基础安全风险项自动化评估相对容易。 （2）高风险漏洞 如今的智能