安全419了解到,全国信息安全标准化技术委员会日前发布《信息安全技术 移动互联网应用程序(app)生命周期安全管理指南(征求意见稿)》(以下简称《指南》),面向社会广泛征求意见,意见反馈截止日期为2022年4月9日。
近年来,移动互联网应用程序(app)得到广泛应用,随之而引入的安全隐患对个人信息安全、app稳定运行等带来严峻挑战。《指南》适用于app开发者对app的开发、运营,也适用于移动应用分发平台厂商和移动智能终端厂商 对app的管理,也可作为第三方机构对app进行安全检测时的参考。
《指南》将app可能面临的安全风险分为三种,一是app自身可能会面临被恶意程序攻击的风险;二是当app存在侵害用户权益的问题时,会面临被通报或者下架的风险;三是app存在的安全漏洞可能会被攻击者利用的风险,影响app的正确运行。
app生命周期安全保证框架可分为app生命周期过程和风险监测处置过程两大部分。在app生命周期过程中,各阶段开展不同的管理或技术活动,应对可能出现的风险,降低出现风险的可能性。app生命周期可划分为需求分析阶段、开发设计阶段、测试验证阶段、上架发布阶段、安装运行阶段、更新维护阶段、终止运营阶段七个阶段。
在风险监测处置过程中,通过采集生命周期过程中部分阶段的行为数据,并对行为数据进行风险分析和特征运营,从而判定app是否存在侵害用户权益风险,最终进行风险处置,降低app被通报或者下架的可能性;通过采取措施防范安全漏洞信息的泄露,防止安全漏洞信息传播而产生危害,降低app面临安全漏洞被利用的可能性。
