近日,由中国软件评测中心和CAPPVD漏洞库举办的第四期移动互联网APP产品安全漏洞技术沙龙在北京正式召开,中国移动智慧家庭运营中心(以下简称智家中心)凭借“APP安全漏洞检测与全生命周期安全治理实践”获得2023年移动互联网APP产品安全漏洞治理十大优秀案例。智家中心积极响应上级监管要求,立足APP安全漏洞检测,建立的移动应用全生命周期治理方案获得权威认可。
近年来,随着APP安全技术的不断发展、政策法律层面的要求以及监管单位的通报监督,APP安全治理的重要性逐渐凸显。对于APP的运营方来说,构建个人信息安全检测能力并开展全面的APP生命周期安全治理工作已经变得至关重要。
在国家法律要求和行业监管的大背景下,智家中心作为中国移动CHBN融合发展的重要一环,立足于家庭领域的“研发运营一体化”,基于自身APP形态多、用户量大的特点,通过制度规范制定和工具平台两大支撑,建立起APP全生命周期的治理方案。在需求阶段,通过需求分析平台分析出具体安全需求,在编码测试阶段,开展客户端基础安全和个人信息保护检测,开展服务端源码、灰盒和SCA检测,并在APP版本发布前进行应用加固,确保全流程的安全与稳定,从而构建起全流程治理体系。
建立“三位一体”的安全漏洞检测能力
智家中心紧跟行业发展步伐,将静态分析的传统安全漏洞检测模式转化为动静态结合的检测模式,同时引入专家参与,构建“静态+动态+专家”的“三位一体”检测模式。通过静态检测实现源码、组件的基础安全检测,通过动态检测对个人信息保护函数进行实时监测,识别APP和SDK的个人信息保护违规行为。同时引入专家参与,在静态检测时对检出问题进行二次判断,在动态检测时精准参与业务功能的触发,从而提高漏洞检测的准确率。
构建全生命周期的移动应用安全治理方案
智家中心以APP安全漏洞检测能力为核心,建立安全需求分析、安全加固,及服务端源码、灰盒和SCA检测等配套工具平台。不仅在测试阶段开展基础安全和个人信息保护的测试,而且在需求分析阶段,开展版本安全需求的管理,引入安全编码规范,将安全治理左移,降低漏洞修复成本。上线前的应用加固能解决核心代码和配置文件泄露的问题,降低安全隐患。同时,开展应用程序接口安全和软件成分分析测试,从而保障APP客户端和服务端的全生命周期安全。
智家中心APP安全漏洞检测平台当前已实现190个移动端安全漏洞的自动化检测,完成近600个Android、iOS和SDK版本安全测试,累计发现安全问题数量可观,效果显著。在人力成本方面,将基础安全测试时间从原有2人天降至3分钟,将个人信息保护测试时间从原有3人天降至半小时。相比传统人工测试,节约人力成本约3000人天。
未来智家中心将坚持创新引领、科技驱动,持续提升APP安全漏洞检测技术,进一步深耕移动端安全治理能力,不断推动APP安全产品和服务高质量发展,助力移动端产品安全治理降本增效。