专题课程
此次安全事件感染源在于苹果集成开发工具Xcode,从非官方渠道下载的Xcode中被植入病毒,然后借程序员之手将恶意代码植入正在编译的App之中,相比为数众多的直接将恶意代码植入应用程序中的安全案例而言,这种情况实属少见且防不胜防。
事情远还没有结束,Android系统同样未能幸免,非官方下载的Unity和cocos2dx也被证实感染了类似病毒,而很多知名的游戏像神庙逃亡、炉石传说都是用Unity开发的……
事情发生多天之后,整个业界沉浸在一片热议和反思之中,更多人表现出的是不停地抱怨。有人抱怨苹果官方审核不力,有人抱怨开发者工作不慎,有人报怨官网下载速度太慢。似乎这些都是问题,似乎这些又都不是问题。在整个事件中我们发现,网络下载的开发工具存在安全问题,网络下载的第三方库也存在安全隐患。
笔者认为,保障企业移动开发环境安全需要做到以下三点:
建立严格的作业制度
重要的软件、配置、开发工具之类必须有专人管理,事先存储于内网服务器或是NAS、SAN之上以供分发,并按时检查更新。
建立统一集成编译环境
最终发布应用必须在集成的编译环境中自动编译和发布,不能随意地在某开发人员的环境编译和发布。
建立程序员分级制度
移动应用需要依赖的第三方库必须有具有相关资质高级程序员负责下载和提交,普通程序员只需要负责业务代码的开发和提交。
目前,移动应用开发多采用原生开发环境或者由移动厂商提供的开发平台进行原生或者Hybrid移动应用开发。这种开发方式,原生代码、HTML代码、依赖的第三方库都混在同一个项目中,而且,所有的开发人员都共享着同一个项目。这就意味着,所有的开发人员都有机会提交第三方库。如果制度和监管略有疏忽,就极有可能在APP中混入带有恶意代码的第三方库,造成企业用户信息泄漏!
而这样的信息泄漏,在笔者看来,都是企业所不能容忍的。要解决这些企业所不能容忍的痛点,就必须拥有真正安全可靠的移动平台。目前,普元企业移动平台 (Primeton Mobile)使用React Native技术,支持移动开发人员使用Web开发语言进行原生应用的开发。其拥有苛刻的安全保障体系,能够帮助企业实现与Facebook、淘宝相同架构的移动互联解决方案。
普元企业移动平台把移动应用开发和移动平台React Native扩展完全分离,移动应用开发平台完全脱离原生环境,使用开发环境的普通开发人员只需进行HTML、Java Script、CSS的编码就可以进行原生应用的开发,从源头上杜绝普通开发人员提交第三方库的可能。 同时,普元企业移动平台还提供统一的集成编译环境,使应用的编译打包发布变得更安全、更方便,帮助企业重塑业务流程,加速移动升级并保证安全可靠。
收藏(0)
赞 
粤公网安备44010602001432号