XcodeGhost来袭,如何让企业移动开发环境更安全?

标签:安全移动开发XcodeGhost

访客:21725  发表于:2015-09-28 11:37:49

  一向号称全球最安全的苹果系统又出现了安全问题! 9月16日,CNCERT国家互联网应急中心发布XcodeGhost病毒安全风险预警,AppStore上超过4000多款应用中招,包括微信、网易云音乐、网易公开课、同花顺、南京银行、南方航空、中信银行行动卡空间等等比较熟知的应用。 安装以上应用的iPhone/iPad用户或有可能泄露基本信息,受影响用户超过1亿!

  此次安全事件感染源在于苹果集成开发工具Xcode,从非官方渠道下载的Xcode中被植入病毒,然后借程序员之手将恶意代码植入正在编译的App之中,相比直接将恶意代码植入应用程序中为数众多的安全案例而言,这种情况实属少见且防不胜防。

  事情远还没有结束,Android系统同样未能幸免,非官方下载的Unity和cocos2dx也被证实感染了类似病毒,而很多知名的游戏像神庙逃亡、炉石传说都是用Unity开发的……

  事情发生多天之后,整个业界沉浸在一片热议和反思之中,更多人表现出的是不停抱怨。有人抱怨苹果官方审核不力,有人抱怨开发者工作不慎,有人报怨官网下载速度太慢。似乎这些都是问题,似乎这些又都不是问题。在整个事件中我们发现,网络下载的开发工具存在安全问题,网络下载的第三方库也存在安全隐患。

  那么问题来了:

  如何保障企业的移动开发环境的安全,如何避免移动应用在开发时就被植入恶意代码呢?

  笔者认为,保障企业移动开发环境安全需要做到以下三点。

  第1,建立严格的作业制度,重要的软件、配置、开发工具之类必须有专人管理,事先存储于内网服务器或是NAS、SAN之上以供分发,并按时检查更新。

  第2,建立统一集成编译环境,最终发布应用必须在集成的编译环境中自动编译和发布,不能随意的在某开发人员的环境编译和发布。

  第3,建立程序员分级制度,移动应用需要依赖的第三方库必须有具有相关资质高级程序员负责下载和提交,普通程序员只需要负责业务代码的开发和提交。

  目前,移动应用开发多采原生开发环境或者由移动厂商提供的开发平台进行原生或者Hybrid移动应用开发。这种开发方式,原生代码、HTML代码、依赖的第三方库都混在同一个项目中,而且,所有的开发人员都共享着同一个项目。这就意味着,所有的开发人员都有机会提交第三方库。如果制度和监管略有疏忽,就极有可能在APP中混入带有恶意代码的第三方库,造成企业用户信息泄漏!

  而这样的信息泄漏,在笔者看来,都是企业所不能容忍的。要解决这些企业所不能容忍的痛点,就必须拥有真正安全可靠的移动平台。目前,普元企业移动平台 (Primeton Mobile)使用React Native技术,支持移动开发人员使用Web开发语言进行原生应用的开发。其拥有苛刻的安全保障体系,能够帮助企业实现与Facebook、淘宝相同架构的移动互联解决方案。

  普元企业移动平台把移动应用开发和移动平台React Native扩展完全分离,移动应用开发平台完全脱离原生环境,使用开发环境的普通开发人员只需进行HTML、JavaScript、CSS的编码就可以进行原生应用的开发,从源头上杜绝普通开发人员提交第三方库的可能。 同时,普元企业移动平台还提供统一的集成编译环境,使应用的编译打包发布变得更安全、更方便,帮助企业重塑业务流程,加速移动升级并安全可靠。

  现在,Primeton Mobile已帮助众多企业实现了移动协同平台、企业服务化转型、智慧政务与数字化城市等应用,如金证股份互联网金融的直销银行,韵达快递移动业务工作平台,张家港农商行移动协同办公平台,中信重工移动信息化加速企业服务化转型,陕西国土数字化城市,宁夏住房资金管理中心智慧政务等。

  文/普元信息 汤金忠

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");