freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

信息安全技术 移动互联网应用程序(App)生命周期安全管理指南(征求意见稿)发布
2022-02-09 18:06:39

2022年2月8日,全国信息安全标准化技术委员会发布了《信息安全技术 移动互联网应用程序(App)生命周期安全管理指南(征求意见稿)》(以下简称《征求意见稿》),并公开征求意见。

《征求意见稿》主要内容共六章,分别是范围、规范性引用文件、术语和定义、缩略语、概述和生命周期管理,对生命周期的安全需求、安全建议、安全管理等内容给出了指导意见。

《征求意见稿》可为移动互联网应用程序(App)生命周期安全管理提供建议,适用于App开发者对App的开发、运营,也适用于移动应用分发平台厂商和移动智能终端厂商对App的管理,也可作为第三方机构对App进行安全检测时的参考,让开发者在开展规范性实践时有据可依、加强认识,从而促进整个移动互联网生态的健康发展。

众所周知,App的生命周期主要包含七个阶段:需求分析阶段、开发设计阶段、测试验证阶段、上架发布阶段、安装运行阶段、更新维护阶段和终止运营阶段,七个阶段都可能面临各种不同的安全风险,需要在App生命周期中对每个阶段进行安全分析与安全管理。

为此,《征求意见稿》提出了App 生命周期安全保证框架,如下图所示,可帮助移动互联网生态中不同参与者沟通和理解各个阶段的活动。

根据App在生命周期的开发、运营和管理过程中的不同特点,App可能面临的安全风险,包括但不限于:1、App自身可能会面临被恶意程序攻击的风险,恶意程序的分类及风险;2、当App存在侵害用户权益的问题时,会面临被通报或者下架的风险,侵害用户权益的分类及风险;3、App存在的安全漏洞可能会被攻击者利用的风险,影响App的正确运行,安全漏洞的分类及风险。

App生命周期安全保证框架由App生命周期过程和风险监测处置过程组成。在App生命周期过程中,各阶段开展不同的管理或技术活动,应对可能出现的风险,降低出现风险的可能性,安全风险应对体系。风险监测处置过程是通过采集生命周期过程中部分阶段的行为数据,并对行为数据进行风险分析和特征运营,从而判定App是否存在侵害用户权益风险,最终进行风险处置,降低App被通报或者下架的可能性;通过采取措施防范安全漏洞信息的泄露,防止安全漏洞信息传播而产生危害,降低App面临安全漏洞被利用的可能性(更多详细内容可参考附录)。

附:信息安全技术 移动互联网应用程序(App)生命周期安全管理指南(征求意见稿)全文

# FreeBuf政策发布
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者