一向號稱全球最安全的蘋果系統又出現了安全問題! 9月16日,CNCERT國家互聯網應急中心發(fā)布XcodeGhost病毒安全風險預警,AppStore上超過4000多款應用中招,包括微信、網易云音樂、網易公開課、同花順、南京銀行、南方航空、中信銀行行動卡空間等等比較熟知的應用。 安裝以上應用的iPhone/iPad用戶或有可能泄露基本信息,受影響用戶超過1億!
此次安全事件感染源在于蘋果集成開發(fā)工具Xcode,從非官方渠道下載的Xcode中被植入病毒,然后借程序員之手將惡意代碼植入正在編譯的App之中,相比直接將惡意代碼植入應用程序中為數眾多的安全案例而言,這種情況實屬少見且防不勝防。
事情遠還沒有結束,Android系統同樣未能幸免,非官方下載的Unity和cocos2dx也被證實感染了類似病毒,而很多知名的游戲像神廟逃亡、爐石傳說都是用Unity開發(fā)的……
事情發(fā)生多天之后,整個業(yè)界沉浸在一片熱議和反思之中,更多人表現出的是不停抱怨。有人抱怨蘋果官方審核不力,有人抱怨開發(fā)者工作不慎,有人報怨官網下載速度太慢。似乎這些都是問題,似乎這些又都不是問題。在整個事件中我們發(fā)現,網絡下載的開發(fā)工具存在安全問題,網絡下載的第三方庫也存在安全隱患。
那么問題來了:
如何保障企業(yè)的移動開發(fā)環(huán)境的安全,如何避免移動應用在開發(fā)時就被植入惡意代碼呢?
筆者認為,保障企業(yè)移動開發(fā)環(huán)境安全需要做到以下三點。
第一, 建立嚴格的作業(yè)制度,重要的軟件、配置、開發(fā)工具之類必須有專人管理,事先存儲于內網服務器或是NAS、SAN之上以供分發(fā),并按時檢查更新。
第二, 建立統一集成編譯環(huán)境,最終發(fā)布應用必須在集成的編譯環(huán)境中自動編譯和發(fā)布,不能隨意的在某開發(fā)人員的環(huán)境編譯和發(fā)布。
第三, 建立程序員分級制度,移動應用需要依賴的第三方庫必須有具有相關資質高級程序員負責下載和提交,普通程序員只需要負責業(yè)務代碼的開發(fā)和提交。
目前,移動應用開發(fā)多采原生開發(fā)環(huán)境或者由移動廠商提供的開發(fā)平臺進行原生或者Hybrid移動應用開發(fā)。這種開發(fā)方式,原生代碼、HTML代碼、依賴的第三方庫都混在同一個項目中,而且,所有的開發(fā)人員都共享著同一個項目。這就意味著,所有的開發(fā)人員都有機會提交第三方庫。如果制度和監(jiān)管略有疏忽,就極有可能在APP中混入帶有惡意代碼的第三方庫,造成企業(yè)用戶信息泄漏!
而這樣的信息泄漏,在筆者看來,都是企業(yè)所不能容忍的。要解決這些企業(yè)所不能容忍的痛點,就必須擁有真正安全可靠的移動平臺。目前,普元企業(yè)移動平臺 (Primeton Mobile)使用React Native技術,支持移動開發(fā)人員使用Web開發(fā)語言進行原生應用的開發(fā)。其擁有苛刻的安全保障體系,能夠幫助企業(yè)實現與Facebook、淘寶相同架構的移動互聯解決方案。
普元企業(yè)移動平臺把移動應用開發(fā)和移動平臺React Native擴展完全分離,移動應用開發(fā)平臺完全脫離原生環(huán)境,使用開發(fā)環(huán)境的普通開發(fā)人員只需進行HTML、JavaScript、CSS的編碼就可以進行原生應用的開發(fā),從源頭上杜絕普通開發(fā)人員提交第三方庫的可能。 同時,普元企業(yè)移動平臺還提供統一的集成編譯環(huán)境,使應用的編譯打包發(fā)布變得更安全、更方便,幫助企業(yè)重塑業(yè)務流程,加速移動升級并安全可靠。
現在,Primeton Mobile已幫助眾多企業(yè)實現了移動協同平臺、企業(yè)服務化轉型、智慧政務與數字化城市等應用,如金證股份互聯網金融的直銷銀行,韻達快遞移動業(yè)務工作平臺,張家港農商行移動協同辦公平臺,中信重工移動信息化加速企業(yè)服務化轉型,陜西國土數字化城市,寧夏住房資金管理中心智慧政務等。