XcodeGhost来袭,如何让企业移动开发环境更安全?

来源:畅享网  作者:普元信息 汤金忠
2015/9/28 16:23:38
一向号称全球最安全的苹果系统又出现了安全问题! 9月16日,CNCERT国家互联网应急中心发布XcodeGhost病毒安全风险预警,AppStore上超过4000多款应用中招,包括微信、网易云音乐、网易公开课、同花顺、南京银行、南方航空、中信银行行动卡空间等等比较熟知的应用。

本文关键字: 移动 操作系统 开发环境

 

一向号称全球最安全的苹果系统又出现了安全问题! 9月16日,CNCERT国家互联网应急中心发布XcodeGhost病毒安全风险预警,AppStore上超过4000多款应用中招,包括微信、网易云音乐、网易公开课、同花顺、南京银行、南方航空、中信银行行动卡空间等等比较熟知的应用。

安装以上应用的iPhone/iPad用户或有可能泄露基本信息,受影响用户超过1亿!

此次安全事件感染源在于苹果集成开发工具Xcode,从非官方渠道下载的Xcode中被植入病毒,然后借程序员之手将恶意代码植入正在编译的App之中,相比直接将恶意代码植入应用程序中为数众多的安全案例而言,这种情况实属少见且防不胜防。

事情远还没有结束,Android系统同样未能幸免,非官方下载的Unity和cocos2dx也被证实感染了类似病毒,而很多知名的游戏像神庙逃亡、炉石传说都是用Unity开发的……

事情发生多天之后,整个业界沉浸在一片热议和反思之中,更多人表现出的是不停抱怨。有人抱怨苹果官方审核不力,有人抱怨开发者工作不慎,有人报怨官网下载速度太慢。似乎这些都是问题,似乎这些又都不是问题。在整个事件中我们发现,网络下载的开发工具存在安全问题,网络下载的第三方库也存在安全隐患。

那么问题来了:

如何保障企业的移动开发环境的安全,如何避免移动应用在开发时就被植入恶意代码呢?

笔者认为,保障企业移动开发环境安全需要做到以下三点。

第一,建立严格的作业制度,重要的软件、配置、开发工具之类必须有专人管理,事先存储于内网服务器或是NASSAN之上以供分发,并按时检查更新。

第二,建立统一集成编译环境,最终发布应用必须在集成的编译环境中自动编译和发布,不能随意的在某开发人员的环境编译和发布。

第三,建立程序员分级制度,移动应用需要依赖的第三方库必须有具有相关资质高级程序员负责下载和提交,普通程序员只需要负责业务代码的开发和提交。

目前,移动应用开发多采原生开发环境或者由移动厂商提供的开发平台进行原生或者Hybrid移动应用开发。这种开发方式,原生代码、HTML代码、依赖的第三方库都混在同一个项目中,而且,所有的开发人员都共享着同一个项目。这就意味着,所有的开发人员都有机会提交第三方库。如果制度和监管略有疏忽,就极有可能在APP中混入带有恶意代码的第三方库,造成企业用户信息泄漏!

而这样的信息泄漏,在笔者看来,都是企业所不能容忍的。要解决这些企业所不能容忍的痛点,就必须拥有真正安全可靠的移动平台。目前,普元企业移动平台

(Primeton Mobile)使用React Native技术,支持移动开发人员使用Web开发语言进行原生应用的开发。其拥有苛刻的安全保障体系,能够帮助企业实现与Facebook、淘宝相同架构的移动互联解决方案。

普元企业移动平台把移动应用开发和移动平台React Native扩展完全分离,移动应用开发平台完全脱离原生环境,使用开发环境的普通开发人员只需进行HTML、JavaScript、CSS的编码就可以进行原生应用的开发,从源头上杜绝普通开发人员提交第三方库的可能。

同时,普元企业移动平台还提供统一的集成编译环境,使应用的编译打包发布变得更安全、更方便,帮助企业重塑业务流程,加速移动升级并安全可靠。

现在,Primeton Mobile已帮助众多企业实现了移动协同平台、企业服务化转型、智慧政务与数字化城市等应用,如金证股份互联网金融直销银行,韵达快递移动业务工作平台,张家港农商行移动协同办公平台,中信重工移动信息化加速企业服务化转型,陕西国土数字化城市,宁夏住房资金管理中心智慧政务等。

——————————————————————————————

作者简介:汤金忠,普元信息移动安全专家、资深架构师,主持了普元移动产品、Portal产品的研发工作;先后参加过华为平台建设项目、工商银行平台咨询项目和建设项目,专注于前端展现技术十余年,在信息展现、移动安全、业务集成方面有丰富经验

关于普元

普元信息技术股份有限公司(Primeton)是国内领先的软件基础平台与解决方案提供商、国际标准组织 OASIS 成员单位、国家规划布局内重点软件企业,并是国家重点支持的国产基础软件企业。普元专注于企业架构软件领域,掌握多项自主创新核心技术及软件发明专利,产品及解决方案覆盖SOA云计算、大数据等企业IT建设完善领域,并拥有近千家大中型客户成功实施经验。

责编:胡雪妍
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918