容器防火墙与Web应用程序防火墙有何不同?

应用程序容器提供了一种有效的方法来部署和管理应用程序，包括面向web的应用程序。但是随着容器化，保护应用程序变得更加具有挑战性。我经常被问到web应用程序防火墙与容器防火墙的比较。我还被问到下一代防火墙(NGFW)与容器防火墙的比较，您可以在这里阅读这个比较。

简要介绍一下web应用程序防火墙是一种特殊的功能设备或软件，旨在保护对面向web的应用程序的外部访问，而与此相反，容器防火墙保护容器之间的所有内部东西通信，同时还包括WAF的一些保护。容器防火墙还包含许多其他特性，如上一节讨论的持续容器安全性。

在现代快速部署过程中保护应用程序需要将安全性构建到从构建、发布到运行的整个周期中。在容器部署到生产环境之前，应该使用代码扫描和镜像漏洞扫描工具。在生产环境中，传统安全工具的组合应该与云本地容器安全工具一起部署。

从单片应用程序到微服务的转变带来了不同的网络模式和新的安全问题。传统的防火墙和web应用程序防火墙很难看到主机内部或主机之间的东西方内部通信，特别是在容器环境中，随着容器的启动和消失而不断变化。那么NGFWs和WAFs不需要用于保护容器吗?

使用网络防火墙和专用的web应用程序防火墙来保护应用程序免受攻击仍然非常重要。在下面的图中，NGFW提供了多协议检查和保护，免受不可信网络的攻击。此外，WAF还保护面向外部的web前端应用程序免受外部客户机攻击。WAF提供了针对web应用程序的最常见攻击的专门保护。

 

然而，由于现在正将单片web应用程序迁移到可能具有数十或数百个后端服务的面向客户的容器(服务)，因此需要容器防火墙提供额外的安全层。容器的设计是以秒为单位进行部署的，编排系统可以在相同的主机上或跨主机上启动新的容器，这取决于服务需求和可用的主机资源。每个容器都有自己的映射网络接口，这些接口被动态分配和释放。容器还可以使用不同于标准HTTP的协议和端口进行通信，因此同时具备网络和应用程序安全特性非常重要。

容器防火墙的特性

容器防火墙检查并保护进出容器的所有流量。它能够保护云本地工作负载、应用程序堆栈和服务。容器防火墙还必须保护从外部网络和遗留应用程序到容器的入口和出口，这与WAF不同，WAF保护基于web的客户机对前端应用程序的访问。

以下是容器防火墙的主要功能:

1. 原生云。了解编制和容器平台服务(dns、负载平衡器)、部署模型(如服务、pod、复制)、网络覆盖（overlays）、名称空间等。
2. 应用智能。从元数据和行为分析中学习应用程序的意图。特点包括:
   1. 基于应用程序(第7层)的协议检查和保护。不使用IPtables或只使用L3/L4规则。
   2. 基于流行的应用协议，如redis, mysql, mongodb，识别和执行策略。
3. 基于白名单，自动更新规则。发现应用程序行为和安全需求，并适应更改和更新。
4. 与容器编制集成。跨越主机、云和适应更新。
5. 容器威胁保护。防止常见的应用程序级攻击，如DDoS、DNS攻击。许多这样的保护也可以在web应用程序防火墙中找到。
6. 黑名单和自定义规则。能够基于容器标签、IP地址、范围或其他L3/L4策略设置规则。
7. 其他主机安全和审计功能。请参阅关于连续容器安全性的最后一节。
8. CI / CD集成。自动化部署和管理，以适应持续集成和交付管道。

因为容器防火墙主要用于保护容器流量，所以它并不打算取代边缘的NGFW、IDS/ IPS或WAF。但是，它必须防止常见的已知应用程序攻击，这些攻击可能源自内部。

Web应用程序防火墙(WAF)的特性

Web应用程序防火墙为基于Web的流量提供高级保护，通常是HTTP/S，其中来自internet的流量首先与应用程序的“前端”交互。大多数WAFs检测到许多应用程序威胁，包括OWASP Top 10。

一般来说，web应用程序防火墙将包括以下功能:

1. 检测应用程序的攻击。检测SQL注入、跨站点脚本(XSS)、DDoS、DNS攻击等。
2. 协议、逻辑和对象格式支持。JavaScript、SQL、HTML、XML、JSON、cookie等。
3. 支持HTTP和HTTPS。一些WAFs将终止SSL连接，而另一些则依赖于前面的负载平衡器来终止连接。
4. 虚拟修补。暂时“修补”漏洞与网络黑名单政策，直到应用程序可以修补。

 

图表：WAF与容器防火墙比较

 

	WEB APPLICATION FIREWALL (WAF)	CONTAINER FIREWALL
Functions	HTTP / S Web服务器保护 跨站点脚本（XSS），SQL注入，OWASP Top 10等。 高级检查cookie，表单数据，URI 虚拟补丁 基于云的签名更新	云原生 应用智能和L7检查 声明性，自动化，基于白名单的政策 容器威胁保护 其他容器安全功能*
Deployment	网关/边缘 南北能见度	主机 东西+南北可见 容器入口和出口
Integration	SIEM	Container engine (Docker) Orchestration (e.g. Kubernetes) CI/CD pipeline SIEM

 

连续的容器安全

容器防火墙解决方案不仅可以提供基于网络的应用程序保护，还可以提供许多其他特性。因为容器防火墙分布在主机上，所以它们还可以提供主机安全性和审计功能。通过与Docker引擎和编制平台集成，容器防火墙可以提供流程检查、安全审计和资源监视。下面是一些其他的功能:

• 主机和容器进程监视，以检测权限升级和可疑进程
• 漏洞扫描(注册中心、主机、容器)
• 使用Docker Bench和CIS基准进行安全性测试，用于审计和合规性。

向基于容器的应用程序的转变需要新的安全技术来保护容器。比较web应用程序防火墙和容器防火墙是很有趣的，但是最好的安全性是一种分层策略，它使用两者来保护基础设施的不同部分。

关于作者:Gary Duan

Gary是NeuVector的联合创始人兼首席技术官。他在网络、安全、云和数据中心软件方面拥有超过15年的经验。他是Fortinet获奖DPI产品的架构师，并管理过Fortinet、思科和Altigen的开发团队。他的技术专长包括IDS/IPS、OpenStack、NSX和编制系统。他在安全和数据中心技术方面拥有多项专利。
 

原文：https://neuvector.com/network-security/web-application-firewall-vs-container-firewall/

本文：https://pub.intelligentx.net/web-application-firewall-vs-container-firewall

讨论：请加入知识星球或者小红圈【首席架构师圈】

 

84％的汽车工程师担心他们的系统跟不上威胁。

 

今天的车辆无可否认是复杂的，工程师正在努力确保每辆车的安全性都能保持新功能。

Forescout估计“现代汽车中的软件超过1亿行代码” - 比航空电子软件大15倍。这意味着黑客有很多入口点，无论是通过移动应用，手机网络，互联网接入，车辆的控制器局域网（CAN）总线，甚至是车载诊断端口。

“今天的车辆无可否认是复杂的，工程师正在努力确保每辆车的安全性都能保持新功能。”

2019年的Synopsys和SAE研究显示，84％的受访汽车专业人士担心他们目前的网络安全计划无法跟上他们所支持的技术。更糟糕的是，近三分之一的受访者表示他们没有相关的网络安全计划或团队来解决这一问题。

随着消费者期待新的硬件，软件和内容在旅途中受到娱乐和了解，开发人员很难兼顾越来越多的优先事项 - 并且在这种复杂的环境中创建有效的解决方案。

这篇文章深入探讨了汽车专业人士面临的具体，不断变化的风险，并提供了三种避免它们的具体策略。

汽车黑客：一个不断增长的目标

几十年来，无线电和人类对话足以招待司机。今天，无论地点和通勤时间越来越长，我们都希望保持联系。现代汽车配备车载信息娱乐（IVI）系统和导航系统，可访问各种第三方应用程序甚至车载互联网和WiFi接入。这为破口提供了更大的表面积。

扰乱某人的娱乐可能会令人讨厌，但如果黑客利用该入口点进入制动或转向，后果可能会很严重。

这不仅仅是一种可能性，最近黑客闯入了两个GPS跟踪应用程序（ProTrack和iTrack），获得了对个人数据的访问权限，能够实时监控车辆位置并停止引擎。因为所有客户都被分配了123456作为默认密码，被称为“L＆M”的黑客告诉Motherboard他能够通过应用程序的API蛮力“数百万用户名”。尽管“L＆M”是在获得奖励之后，再加上提高对漏洞的认识，但主板确认他可以通过一次触摸在多个国家造成交通拥堵（并且可能是事故）。

“扰乱某人的娱乐可能会令人讨厌，但如果黑客利用这个切入点来进行制动或转向，后果可能会很严重。”

在另一个案例中，由于API上的认证执行不力，安全研究人员能够侵入日产Leaf的配套应用程序NissanConnect，远程控制气候设置，耗尽汽车电池，并监视最近旅程中的数据。

用户熟悉锁门或隐藏贵重物品的需要，但他们对汽车现在需要的网络安全工具不太熟悉。这为工程师和CTO提供了通过提供安全用户可信赖来区分其产品的机会。

在不断发展的行业中改善网络安全

没有一个通用的解决方案，但关键领域的变化可以提高用户安全性。

1.实施威胁检测。

您越早收到威胁或可疑活动的警报，您就会做出更好的反应。

这说明了建立强大的入侵检测系统的重要性。 Auth0提供异常检测，提供强力检测和突破密码检测，可以帮助保护ProTrack和iTrack客户免受L＆M的黑客攻击。

使用Auth0，管理员可以在其仪表板中轻松设置异常检测的首选项。您可以快速了解系统中的可疑活动，立即接收警报，并设置阻止恶意访问尝试的控件。

IVI，浏览器和互联网访问的引入都扩大了车辆的攻击面，为黑客提供了更多的方法来隐藏他们的攻击。

黑客不会留下破碎的窗户和空的控制台。如果没有快速查看威胁的系统，它们就会隐藏起来，数据可能会暴露在外，并且公关灾难可能会增加。如果你没有及早发现瑕疵，类似的车辆可能会同样容易受到攻击。

2.创建更简单，更安全的登录。

许多现有的汽车已配备远程启动功能，但用户可以远距离控制的功能范围只会随着汽车连接的增加而增加。

用户可以远程执行的操作越多，黑客就越能获得访问权限。具有容易被盗的凭据的远程接口存在危险的漏洞。

凭借价值22美元的设备，北京的研究人员能够偷偷摸摸地延长钥匙扣的有效射程，说服他们靠近的汽车。通过欺骗钥匙的信号，他们能够在驾驶员不知情的情况下进入车辆。即使是由广泛的安全团队和加密密钥支持的特斯拉Model S，也可以使用克隆的密钥卡对安全研究人员进行控制。

在被黑客攻击的日产Leaf的情况下，安全研究人员只用挡风玻璃上的VIN控制汽车的功能。

提供应用程序和在线访问门户的汽车公司和第三方技术提供商可以通过更严格的身份验证措施来保护其客户。多因素身份验证（MFA）和生物识别等功能可以帮助保护访问权限，并阻止黑客寻找快速方式。

例如，使用多因素身份验证，用户需要的不仅仅是他们的名称和密码才能登录.Access需要额外的凭据，例如语音片段，指纹或移动设备。 Auth0 Guardian简化了跨设备的身份验证，可以保护您的系统，同时保持良好的用户体验。

Auth0 Guardian通过消除对一次性代码的需求，使多因素身份验证变得简单。相反，管理员只需点击按钮即可下载应用程序并批准登录请求。当您处理大量登录请求时，Guardian会使该过程更加高效，因此您可以专注于开发和分发新功能。

除了在访问后监控其行为之外，在登录时确认用户身份至关重要。没有这层保护，不诚实的用户更容易进入系统并造成严重破坏。

3.确保您的安全解决方案是可扩展的。

车辆，如移动设备，在旅行，连接和重新连接时会冒险。

一些用户希望将手机，平板电脑和计算机连接到他们的汽车界面 - 进一步扩大切入点。当他们停放在餐馆，露营地或加油站时，他们可能还想将他们的汽车连接到本地WiFi网络。有些车甚至提供内置WiFi热点。安全需求不仅会随着新功能的发生而发生变化，还会带来新的使用方式和地点。

随着您的公司和用户群的发展，拥有可以适应的基础架构非常重要。

为了能够在汽车行业保持活力，您的威胁检测，身份验证和身份管理系统必须足够灵活，以支持您的业务目标转变。您的技术应该使您的成功，而不是阻碍您的进步。

外包身份提供商可以承担与不断变化的标准和威胁同步的负担。当您的IT团队忙于日常运营时，可能很难创建满足您当前需求的系统，并且还能够根据未来的优先级进行转换。

Auth0为其合作伙伴提供100多种预先构建的规则和扩展（以及编写原始代码的能力），使您可以根据需求的变化定制用户管理系统。

 

规则可以丰富用户配置文件，在发生特定登录时通过API通知其他系统，拒绝访问白名单用户等等。 有关完整列表，请参见此处。

推动前进：与能够应对不断变化的威胁的系统合作

OAuth设备流程是一种新兴的标准，用于保护云端API，而车载系统等设备可直接覆盖。 当访问他们喜欢的流媒体服务时，此流程用于验证客厅中的人，坐在电视机前的沙发上。 OAuth Device Flow还允许我们简化任何具有输入约束的设备的身份验证，例如没有内置浏览器或键盘，例如车载信息娱乐系统。

随着越来越多的汽车系统公开用于远程访问的API，使用现代身份验证功能（包括威胁检测和多因素身份验证）保护这些入口点至关重要。在基于Web的应用程序中实现时，这些功能提供了经过验没有浏览器和有限输入功能的车载系统如何利用这些功能？设备流程提供了一种标准机制，用于将基于浏览器的身份验证扩展到受输入约束的设备，允许用户通过辅助设备（如智能手机）登录其帐户。这提供了一种安全便捷的方式来确保合适的用户可以控制。

这个协议可以分层为许多能够为“智能汽车”提供动力的API吗？现在和将来可以为汽车行业提供哪些选择，以提供更安全，更智能的驾驶体验？我们已准备好帮助您解决可能性。

联网车辆为黑客提供了明确的目标。考虑到软件的数量和复杂性以及对新功能的不断增长的需求，保护这些系统可能看起来令人生畏，但您无需单独解决这些问题。

通过正确的工具和策略，您可以阻止网络犯罪分子，为司机提供安全的车辆，并使您的公司在竞争激烈的领域中脱颖而出。

关于Auth0

Auth0是身份即服务（IDaaS）的全球领导者，为每个市场领域的数千名客户提供他们的网络，移动，物联网和内部应用所需的唯一身份解决方案。其可扩展的平台每月无缝地验证和保护超过25亿次登录，使其受到开发人员的喜爱并受到全球企业的信赖。该公司位于华盛顿州贝尔维尤的美国总部以及位于布宜诺斯艾利斯，伦敦，东京和悉尼的其他办事处为其遍布70多个国家的全球客户提供支持。

 

原文：https://auth0.com/blog/car-hacking-and-cybersecurity-in-automotive-industry/

本文：http://pub.intelligentx.net/node/508

讨论：请加入知识星球或者小红圈【首席架构师圈】

物联网的采用在不同行业中迅速增长并不是秘密。 在我的最后一篇文章中，我讨论了基于blockchain的IoT安全策略，这是一个不断发展的主题，我发现重要，经常被忽视。 在更广泛的事物方案中，块链技术的出现只是保护IoT设备的许多方式之一。 成功的IoT安全架构将需要多个控制层。 在这篇文章中，我想看看物联网安全流程，并进一步了解企业可以采取的另一步，以更好地保护连接的设备和客户数据免受攻击和破坏。

这可能对一些人来说是震惊，但是最近一次最大的IoT安全漏洞的震中起始于安全性较差的应用程序接口（API）。 API定义为一组用于构建软件应用程序的例程，协议和工具。以下是一个简短的例子，说明安全性不好的API可能会对日产眼睛产生负面影响。最近发现，全球最畅销的电动汽车“日产叶”很容易受到黑客的攻击，黑客们可以获得关于车辆运行和旅行的私人信息，甚至控制关键的车辆功能。当日产叶所有者注意到，对于API端点的请求不需要任何身份验证，而不是轻松的黑客可访问的车辆识别号（或VIN），给予攻击者能够控制别人的车的功能，这个信息被发现非常容易这不是一辆新车非常令人兴奋的功能。

在这样的情况下，像API端点一样至关重要的东西被忽视，反过来又使驱动程序有被盗用的风险。随着设备的激增和各种新型设备类型的出现，企业在实施IoT设备时忽视API安全性太容易了，但实际情况是，不正确的API可能会导致严重的头痛，并可能将严重的漏洞引入到产品。随着连接设备的发展，通过API的设备交互是API的主要用例之一，根据IBM，未来几年将会呈指数级增长。此外，2016年API的供应商中有44％表示，物联网将在未来两年推动API增长最多。随着物联网设备的不断兴起，企业领导者必须使安全的API管理成为其安全策略的核心部分。否则，将危及组织的连接设备和客户数据的安全性。

随着我们走向未来，一切都将与B2C行业和B2B企业形成威胁。在这个过度连接的世界中，对物联网设备安全的统一方法是固有的。但是，市场上存在许多不相交或不完整的API管理解决方案，这些解决方案正在为API和连接设备的安全问题做出贡献。

然而，由于所有这些风险和即将来临的物联网安全障碍，组织的决策者可以遵循几个步骤，以通过API来维护设备安全性和设备数据安全性：

集成完整的API生命周期管理工具。作为数字安全策略的一部分，将API视为一些组织（例如Nissan等公司）的一个新概念，对某些组织可能不是这样。但是太多的公司忽视了API安全性非常简单，至关重要的第一步：管理完整的API生命周期。 API开发过程（API设计到创建到运行时到产品管理和API治理）必须以安全的态度以整体方式来处理。而不是每个开发人员，部门或解决方案都创建自己的API治理和安全策略，必须执行企业API安全策略和最佳做法。实现强大的身份验证和授权访问连接的设备。

实施广泛的安全策略。 IoT软件架构，协议和标准根据用例和设备而有所不同。确保API管理解决方案支持从内部部署到云到混合的各种架构，并将IoT协议视为一流的公民。必须通过安全的API保护运动中不同装置的IoT数据。

监控适当的API版本管理。随着物联网设备的不断扩展和不同的固件版本，多种版本的API的扩散潜力是固有的风险。最佳实践要求将所有IoT设备升级到最新的固件，并且应该使用单个或高度有限数量的API版本。具有类似功能的新版本或等效的API可能导致API数量和老化的爆炸。评估可用的API和版本管理以退出旧的或重复的API需要通过企业API审核流程实现。

充分发挥API整个生命周期的作用，对实施物联网技术的企业产生了许多积极的影响。例如，在使用连接的设备或业务服务时，客户不易受到攻击的安全性及其数据安全。或者根据客户使用连接的设备（某些组织有时被忽视）扩展和改进设备功能的能力。想要将焦点集中在物联网市场的组织不能忽视API管理和安全的重要性，特别是随着物联网向更大的自主权发展。

无论你在哪里，人们都在智能手机上。这些设备已成为我们生活中的永久固定装置。我们在智能手机上花费的时间比在桌面上花费的时间多，这使得移动设备成为网络攻击的更大目标。更糟糕的是，我们存储在手机上的大量个人数据以及数据的敏感性使得成功黑客的奖励非常有价值。

智能手机被黑客攻击的最常见方式之一是通过移动应用程序。用户可以从不受信任的来源下载结果是虚假应用的内容。一旦打开手机，应用程序就可以在您意识到其非法性之前访问您的个人信息和数据。判断力差是导致数据被盗的常见原因。

其他时候，代码漏洞和恶意软件应该受到指责。谷歌和苹果都在努力提供安全的移动操作系统。例如，谷歌的Play Protect会扫描用户手机上的可疑应用程序。但移动应用程序不能仅仅依靠谷歌和苹果来保障安全。联邦贸易委员会（FTC）最近的一份报告发现，移动设备只是没有足够频繁地获得他们需要的安全更新和补丁。

移动应用程序中安全漏洞的增加使移动应用程序的安全性成为不容忽视或被抛到一边的东西。现在比以往任何时候都更需要关注。

让我们仔细看看顶级移动应用程序漏洞，以及帮助您提高移动应用程序安全性的十个提示，以便在设计，开发和支持移动应用程序时采取必要的预防措施。

热门移动应用程序漏洞

Open Web Application Security Project（OWASP）发布了十大移动风险列表。该权威列表的最新版本于2016年更新。它可以用作您应该了解的最重要的移动应用程序漏洞的清单。

2016年清单包括：

1. 平台使用不当 - 未能使用可用的平台安全措施或滥用平台功能。可以通过服务器端的安全编码和配置来防止它。
2. 不安全的数据存储 - 如果设备丢失或被盗，或者攻击者进入设备，敏感数据很容易访问，这就成了一个问题。可以通过适当的移动应用程序安全测试（通常是威胁建模）来识别应用程序访问的信息，以及API如何处理这些信息。
3. 不安全的通信 - 移动应用程序传输或交换的数据必须是安全的。您可以采取各种步骤来增强数据交换的安全性，例如加密敏感数据和使用SSL证书。
4. 不安全的身份验证 - 无需强大的凭据即可轻松访问应用程序（及其数据）。弱密码是不安全身份验证的一个示例。应实施强大的流程，例如多因素身份验证。
5. 密码学不足 - 更容易检索弱加密的敏感数据。如果绝对必要，您应该只存储敏感数据，并且在加密数据时遵循严格的标准。
6. 不安全授权 - 授权处理授予用户或由用户授予的权限。某些应用程序未执行足够的检查以确保用户是合法的。不安全的授权使攻击者能够访问应用程序，执行管理功能并造成严重破坏。应根据系统后端的信息而不是设备本身来验证角色和权限，以防止这种情况发生。
7. 客户端代码质量 - 当移动应用程序代码包含使其受威胁开放的漏洞时，这是一个问题。适当的移动应用安全测试和补救程序可降低代码质量差的风险。
8. 代码篡改 - 攻击者经常创建一个未经授权的应用程序版本，然后由用户下载并安装在他们的设备上。您的应用必须能够检测到已发生的更改，并将其识别为可能需要解决的违规行为。
9. 逆向工程 - 攻击者有时可以下载您的应用并研究代码。然后，他们可以窃取专有信息或针对您的应用发起攻击。您可以使用混淆工具来防止此类威胁，这会使您的代码更加模糊，攻击者难以理解。
10. 无关功能 - 攻击者可能会下载您的应用并查找可能被开发人员遗忘的功能和代码。然后，攻击者可以使用这些未使用的函数获取访问权限，并确定后端系统的工作方式，甚至可以在应用程序中执行未经授权的操作。预防在于彻底的代码审查。

有关这些漏洞的更深入了解以及有关如何防范这些漏洞的更多提示，请直接咨询OWASP资源。

其他需要注意的移动应用程序漏洞有：

1. 会话到期不足 - 用户退出应用程序后，会话标识符应无效。如果它没有过期，攻击者可以利用此功能访问应用程序并以用户身份登录。预防在于确保您的应用程序具有注销按钮，并且在注销时所有会话都已正确无效。
2. 弱的服务器端控件 - 您的移动应用程序将访问服务器，无论是您自己的服务器还是第三方系统。这些服务器需要采取适当的安全措施，以防止未经授权的用户访问应用程序及其数据。

提高移动应用安全性的十大提示

您可以采取许多步骤来改善移动应用安全性。这里有十个提示让您朝着正确的方向前进。

1.在开发过程中构建移动应用程序安全性测试。

移动应用程序安全性从第一天开始就需要成为流程的一部分，并且在应用程序的设计，开发和维护过程中始终是优先事项。您应该使用各种应用程序安全测试工具来确保应用程序的全面覆盖。有关不同类型的应用程序漏洞测试软件的更深入了解，请查看我们最近的文章。

应用程序漏洞和关联管理工具可以帮助您了解这些测试工具的结果。使用AVC工具，会自动删除重复项，并且交叉引用结果以确定哪些威胁是最高优先级，应首先解决。

寻找与移动应用程序安全测试工具集成的关联工具，例如专为移动应用程序设计的NowSecure。

2.警惕第三方代码。

使用第三方代码可以节省您的时间和金钱，但您不能认为它始终是安全的。在某些情况下，第三方代码是一个不错的选择，但必须彻底检查漏洞，就像查看开发人员编写的代码一样。你不能也不应该认为它已经得到了适当的审查。

3.采用攻击者的心态。

鼓励您的开发人员和程序员在为您的移动应用程序编写代码时像攻击者一样思考。它容易被剥削吗？

4.创建API安全策略。

API是数据从您的应用程序交换和传输的方式。他们需要安全。以与测试代码相同的方式测试API的漏洞。

5.使用OWASP移动安全项目和移动应用程序安全验证标准。

OWASP移动安全项目是开发人员和安全团队的资源，可帮助开发安全的移动应用程序。在设计，构建和维护移动应用程序时，请定期检查更新和新信息。

移动应用程序安全验证标准为移动应用程序安全性提供了基准。这是一个很好的资源，应该用作指导，帮助您确定您的移动应用程序是否安全。

6.将权限保持在最低限度。

保持应用程序安全的最佳方法之一是只让它访问它真正需要的内容。电话上的联系人，图像和其他数据的每个权限都是攻击者可以利用的另一个进入应用程序的点。

如果您的应用不需要访问给定项目，请不要允许它这样做。您不必要地引发安全问题。

7.戴着白手套处理个人和敏感数据。

不要在您的应用中存储个人或敏感数据。应将其删除或移至安全位置。如果要求存储敏感数据，请遵循正确的加密协议。

8.遵循安全的数据传输程序。

应用程序交换数据，必须安全地完成。可以对数据进行加密以提供安全传输，也可以使用VPN（虚拟专用网络），SSL（安全套接字层）或TLS（传输层安全性）。

9.遵循适当的用户身份验证，授权和用户管理过程。

需要强密码并在需要增加安全性时对其进行加密。会话应在不活动期后注销。在存储敏感数据时，使用更强的身份验证，例如指纹或语音验证。

10.遵守规定的要求。

您的应用可能受某些法规的约束，例如HIPAA。请注意适用于您的规定，并从一开始就解决这些规定。

移动应用程序安全性变得越来越重要，因为人们继续在这些设备上花费更多时间，更具体地说，在移动应用程序中。您需要尽一切力量确保采取所有必要的预防措施并创建安全的移动应用程序。

用户希望内置安全性。未能将此作为优先事项 - 并且随后遭受攻击 - 将导致您的应用程序失败，并且您公司的名称受到损害。使用专家提供的资源和工具来确保您的安全范围是全面的。

原文：https://codedx.com/tips-to-improve-mobile-application-security-code-dx-blog/

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】