基于互聯(lián)網(wǎng)的移動(dòng)應(yīng)用安全測(cè)試評(píng)估技術(shù)介紹

摘 要 當(dāng)前，隨著公民個(gè)人信息保護(hù)意識(shí)的不斷增強(qiáng)，App移動(dòng)應(yīng)用的安全性備受關(guān)注，移動(dòng)應(yīng)用導(dǎo)致公民信息泄露等安全事件頻發(fā)成為社會(huì)的熱點(diǎn)。因此，對(duì)移動(dòng)應(yīng)用上架運(yùn)行前開(kāi)展安全測(cè)試評(píng)估顯得尤為迫切和必要。文章著重介紹了移動(dòng)應(yīng)用安全測(cè)試評(píng)估流程和技術(shù)原理，通過(guò)對(duì)安全測(cè)試評(píng)估工作的介紹，讓讀者對(duì)移動(dòng)應(yīng)用安全測(cè)試評(píng)估的目的、內(nèi)容、方法和技術(shù)有一個(gè)較為全面的了解，旨在提升和加強(qiáng)網(wǎng)絡(luò)運(yùn)營(yíng)者、應(yīng)用開(kāi)發(fā)者和用戶(hù)的網(wǎng)絡(luò)安全意識(shí)。

關(guān)鍵詞 移動(dòng)應(yīng)用；安全測(cè)試；測(cè)評(píng)平臺(tái)；靜態(tài)引擎；動(dòng)態(tài)引擎

中圖分類(lèi)號(hào)：TP3 " " " " " " " " " " " " " " " 文獻(xiàn)標(biāo)識(shí)碼：A " " DOI：10.16400/j.cnki.kjdk.2025.09.047

Introduction to Internet-based Mobile Application Security Testing and"Evaluation Technologies

SHEN Jun

（Hongshan Branch of Wuhan Public Security Bureau， Wuhan， Hubei 430070）

Abstract Currently， with the continuous enhancement of citizens' awareness of personal information protection， the security of App mobile applications has received much attention. Security incidents such as citizens' information leakage caused by mobile application security have occurred frequently and become a social hot topic. Therefore， it is particularly urgent and necessary to carry out security testing and evaluation before mobile applications are launched and put into operation. This article focuses on introducing the security testing and evaluation process and technical principles of mobile applications. Through the introduction of security testing and evaluation work， readers can have a relatively comprehensive and sufficient understanding of the purpose， content， methods and technologies of mobile application security testing and evaluation， aiming to enhance and strengthen the network security awareness of network operators， application developers and users.

Keywords mobile applications; security testing; testing and evaluation platform; static engine; dynamic engine

1背景介紹

隨著互聯(lián)網(wǎng)新技術(shù)的不斷發(fā)展和智能終端的大量普及，Android和iOS系統(tǒng)作為目前市場(chǎng)最主流的移動(dòng)應(yīng)用操作系統(tǒng)，其應(yīng)用種類(lèi)、應(yīng)用數(shù)量都在不斷地增長(zhǎng)。當(dāng)下智能終端設(shè)備已經(jīng)逐步替代PC終端設(shè)備，成為互聯(lián)網(wǎng)個(gè)人信息終端和移動(dòng)支付的主流工具，其安全問(wèn)題不容忽視，例如XcodeGhost漏洞、iBackDoor、弱加密、輸入鍵盤(pán)劫持等。移動(dòng)應(yīng)用的這些安全問(wèn)題不僅可能導(dǎo)致用戶(hù)的個(gè)人信息和隱私泄露，被犯罪分子非法利用來(lái)進(jìn)行電信網(wǎng)絡(luò)詐騙等各類(lèi)犯罪活動(dòng)，甚至還可能造成用戶(hù)自身的個(gè)人財(cái)產(chǎn)被竊取，遭受名譽(yù)和經(jīng)濟(jì)損失。如何在移動(dòng)應(yīng)用產(chǎn)品上架之前就對(duì)其安全性開(kāi)展檢測(cè)和評(píng)估，及時(shí)消除安全隱患，已成為應(yīng)用市場(chǎng)和用戶(hù)都十分關(guān)注的問(wèn)題。

本文著重對(duì)互聯(lián)網(wǎng)移動(dòng)應(yīng)用安全測(cè)評(píng)技術(shù)作一個(gè)基本的介紹，讓大家了解其中的技術(shù)原理、實(shí)現(xiàn)方法和測(cè)評(píng)流程，對(duì)互聯(lián)網(wǎng)移動(dòng)應(yīng)用安全測(cè)評(píng)有一個(gè)較為全面、清晰的認(rèn)識(shí)，提升移動(dòng)應(yīng)用安全防范意識(shí)。

2" 移動(dòng)應(yīng)用安全測(cè)評(píng)的實(shí)現(xiàn)方法

目前，移動(dòng)應(yīng)用的安全測(cè)試評(píng)估主要通過(guò)移動(dòng)應(yīng)用安全測(cè)評(píng)平臺(tái)的自動(dòng)化、程序化檢測(cè)來(lái)實(shí)現(xiàn)，其通過(guò)深度靜態(tài)檢測(cè)技術(shù)、動(dòng)態(tài)檢測(cè)技術(shù)和源代碼掃描等能力，全面評(píng)估移動(dòng)應(yīng)用的安全問(wèn)題，準(zhǔn)確定位問(wèn)題根源，呈現(xiàn)安全問(wèn)題詳情，并提供代碼修復(fù)示例。在平臺(tái)的管理系統(tǒng)中，可自主實(shí)現(xiàn)白名單庫(kù)、第三方SDK庫(kù)、敏感詞庫(kù)等的添加和管理。針對(duì)開(kāi)發(fā)者或用戶(hù)認(rèn)可為安全的情形，可自主設(shè)置檢測(cè)規(guī)則，打造符合某行業(yè)領(lǐng)域或監(jiān)管規(guī)范的定制化檢測(cè)平臺(tái)。

測(cè)評(píng)平臺(tái)還提供了靈活多樣的部署形式，支持獨(dú)立部署（包括本地部署和公有云部署）及公有云賬號(hào)接入。同時(shí)，可通過(guò)升級(jí)管理系統(tǒng)實(shí)現(xiàn)平臺(tái)系統(tǒng)的自主更新，結(jié)合平臺(tái)的測(cè)評(píng)項(xiàng)目快速擴(kuò)展功能，將檢測(cè)中新發(fā)現(xiàn)的應(yīng)用的安全問(wèn)題更新到樣本庫(kù)中，不斷地進(jìn)行樣本積累，使移動(dòng)應(yīng)用的安全檢測(cè)評(píng)估能動(dòng)態(tài)進(jìn)行，更加高效、及時(shí)、準(zhǔn)確地全覆蓋檢測(cè)。

3" 技術(shù)架構(gòu)

3.1" 平臺(tái)的核心模塊

移動(dòng)應(yīng)用安全測(cè)評(píng)平臺(tái)的技術(shù)架構(gòu)整體設(shè)計(jì)需注重系統(tǒng)的高可用性、可擴(kuò)展性和安全性，同時(shí)確保數(shù)據(jù)傳輸和存儲(chǔ)過(guò)程中的加密與隱私保護(hù)，其核心框架通常應(yīng)包括以下六大模塊。

①數(shù)據(jù)采集與解析模塊。通過(guò)公開(kāi)的應(yīng)用市場(chǎng)（如Google" Play、Apple" App" Store）或第三方接口獲取移動(dòng)應(yīng)用（APK/IPA文件）；對(duì)應(yīng)用進(jìn)行靜態(tài)分析，提取元數(shù)據(jù)（如包名、版本號(hào)、權(quán)限聲明）、代碼結(jié)構(gòu)、資源文件等。②安全檢測(cè)引擎模塊。漏洞掃描：基于已知漏洞數(shù)據(jù)庫(kù)（如CVE、CNVD）和規(guī)則庫(kù)，檢測(cè)應(yīng)用中的代碼漏洞（如SQL注入、緩沖區(qū)溢出）和配置漏洞（如不安全的權(quán)限設(shè)置）。惡意行為分析：通過(guò)動(dòng)態(tài)分析技術(shù)（如沙箱環(huán)境運(yùn)行、行為監(jiān)控）檢測(cè)應(yīng)用是否存在惡意行為（如竊取用戶(hù)數(shù)據(jù)、惡意扣費(fèi)）。隱私合規(guī)檢測(cè)：檢查應(yīng)用是否符合隱私保護(hù)法規(guī)（如GDPR、CCPA），包括數(shù)據(jù)收集、存儲(chǔ)、傳輸?shù)暮戏ㄐ浴４a加固檢測(cè)：評(píng)估應(yīng)用的代碼保護(hù)措施（如反編譯、反調(diào)試）是否有效。③數(shù)據(jù)存儲(chǔ)與管理模塊。使用數(shù)據(jù)庫(kù)（如MySQL、MongoDB）存儲(chǔ)檢測(cè)結(jié)果、應(yīng)用信息、漏洞詳情、用戶(hù)報(bào)告等；提供安全策略管理功能，允許用戶(hù)自定義檢測(cè)規(guī)則和警告閾值。④平臺(tái)管理與服務(wù)模塊。用戶(hù)管理：支持用戶(hù)注冊(cè)、登錄、權(quán)限控制（如管理員、普通用戶(hù)）。任務(wù)調(diào)度與執(zhí)行：支持批量任務(wù)提交，合理分配檢測(cè)資源，優(yōu)化檢測(cè)效率。報(bào)警與通知：當(dāng)檢測(cè)到高危漏洞或惡意行為時(shí)，通過(guò)郵件、短信等方式向用戶(hù)報(bào)警或通知。⑤可視化界面模塊。提供友好的Web界面，展示檢測(cè)結(jié)果、漏洞詳情、修復(fù)建議等；支持多維度的數(shù)據(jù)統(tǒng)計(jì)與分析（如漏洞分布、風(fēng)險(xiǎn)等級(jí)分布）；提供檢測(cè)報(bào)告生成與導(dǎo)出功能，方便用戶(hù)存檔或分享。⑥擴(kuò)展與集成模塊。支持與其他安全工具（如代碼掃描工具、威脅情報(bào)平臺(tái)）的集成；提供API接口，允許第三方系統(tǒng)調(diào)用平臺(tái)功能。

3.2" 平臺(tái)的核心組件

移動(dòng)應(yīng)用安全測(cè)評(píng)平臺(tái)是一個(gè)基于云計(jì)算架構(gòu)的綜合性服務(wù)平臺(tái)，旨在為企業(yè)、開(kāi)發(fā)者和用戶(hù)提供移動(dòng)應(yīng)用安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、合規(guī)性檢測(cè)等服務(wù)。從服務(wù)提供的角度來(lái)描述，平臺(tái)應(yīng)包含以下核心組件及其結(jié)構(gòu)和內(nèi)容。 ①用戶(hù)管理與認(rèn)證服務(wù)組件：用戶(hù)注冊(cè)與登錄模塊、角色與權(quán)限管理模塊、多因素認(rèn)證（MFA）模塊。②應(yīng)用上傳與存儲(chǔ)服務(wù)組件：應(yīng)用文件上傳模塊、文件存儲(chǔ)與管理模塊、版本管理模塊。③安全檢測(cè)服務(wù)組件：漏洞掃描模塊、惡意行為分析模塊、隱私合規(guī)檢測(cè)模塊、代碼加固檢測(cè)模塊。④數(shù)據(jù)存儲(chǔ)與管理服務(wù)組件：檢測(cè)結(jié)果存儲(chǔ)模塊、應(yīng)用信息存儲(chǔ)模塊、漏洞庫(kù)管理模塊、數(shù)據(jù)統(tǒng)計(jì)與分析模塊。⑤平臺(tái)管理與運(yùn)營(yíng)服務(wù)組件：任務(wù)調(diào)度與執(zhí)行模塊、報(bào)警與通知模塊、系統(tǒng)監(jiān)控與維護(hù)模塊、運(yùn)營(yíng)數(shù)據(jù)分析模塊。⑥API接口與集成服務(wù)組件：標(biāo)準(zhǔn)API接口模塊、第三方工具集成模塊、威脅情報(bào)集成模塊。⑦可視化與報(bào)告服務(wù)組件：檢測(cè)結(jié)果展示模塊、數(shù)據(jù)統(tǒng)計(jì)與分析模塊、報(bào)告生成與導(dǎo)出模塊。⑧安全與隱私保護(hù)服務(wù)組件：數(shù)據(jù)加密模塊、訪問(wèn)控制模塊、隱私保護(hù)模塊。

3.3" 平臺(tái)部署結(jié)構(gòu)

移動(dòng)應(yīng)用安全測(cè)評(píng)平臺(tái)的物理部署結(jié)構(gòu)和整體架構(gòu)設(shè)計(jì)通常采用分布式部署架構(gòu)，結(jié)合云計(jì)算資源，需要考慮高可用性、可擴(kuò)展性、安全性及資源利用率。以下是幾種常見(jiàn)的具體物理部署結(jié)構(gòu)。①公有云部署：選擇主流公有云服務(wù)商（如阿里云、AWS、華為云、騰訊云），適合需要快速上線(xiàn)、彈性擴(kuò)展的場(chǎng)景，其優(yōu)勢(shì)為資源豐富、成本低、支持高并發(fā)訪問(wèn)。②私有云部署：部署在企業(yè)內(nèi)部數(shù)據(jù)中心，適合對(duì)數(shù)據(jù)隱私和安全要求較高的場(chǎng)景，其優(yōu)勢(shì)為數(shù)據(jù)可控、性能穩(wěn)定。③混合云部署：結(jié)合公有云和私有云的優(yōu)勢(shì)，核心數(shù)據(jù)和敏感業(yè)務(wù)部署在私有云，非核心業(yè)務(wù)和擴(kuò)展資源部署在公有云，其優(yōu)勢(shì)為靈活性高、成本優(yōu)化。

4" 技術(shù)原理

①分發(fā)隊(duì)列技術(shù)：分發(fā)隊(duì)列管理應(yīng)用提交―任務(wù)分發(fā)―結(jié)果響應(yīng)的整體流程調(diào)度，一般來(lái)說(shuō)應(yīng)用測(cè)評(píng)平臺(tái)使用RabbitMQ隊(duì)列服務(wù)器來(lái)管理測(cè)評(píng)的整體任務(wù)流程。RabbitMQ隊(duì)列服務(wù)擁有良好的性能和并發(fā)性，集合測(cè)評(píng)平臺(tái)調(diào)度環(huán)境，極大地提高了從應(yīng)用提交到檢測(cè)再到各個(gè)引擎處理的流程，響應(yīng)快速，并發(fā)性能高。

②Web模塊技術(shù)：Web模塊主要用于用戶(hù)提交待測(cè)應(yīng)用包文件的初步判斷，數(shù)據(jù)展示和管理，發(fā)送用戶(hù)提交的測(cè)評(píng)任務(wù)給RabbitMQ隊(duì)列服務(wù)器，同時(shí)接收測(cè)評(píng)引擎的返回結(jié)果，生成數(shù)據(jù)報(bào)表，供查閱和下載。

③測(cè)評(píng)引擎技術(shù)：測(cè)評(píng)引擎分為動(dòng)態(tài)引擎、靜態(tài)引擎、病毒引擎、源碼引擎和Web引擎，根據(jù)現(xiàn)有漏洞的檢測(cè)方式有針對(duì)性、快速、準(zhǔn)確地檢測(cè)漏洞和風(fēng)險(xiǎn)。

5" 測(cè)評(píng)流程

安全測(cè)評(píng)是一項(xiàng)系統(tǒng)性、專(zhuān)業(yè)性的工作，旨在發(fā)現(xiàn)系統(tǒng)或應(yīng)用中的安全漏洞和風(fēng)險(xiǎn)，提供修復(fù)建議，最終提升系統(tǒng)的安全性。整個(gè)安全測(cè)評(píng)任務(wù)從開(kāi)始到結(jié)束共有任務(wù)初始化、準(zhǔn)備、執(zhí)行、分析、報(bào)告、總結(jié)等六個(gè)階段。①任務(wù)初始化階段（任務(wù)啟動(dòng)）：明確測(cè)評(píng)任務(wù)的基本信息和范圍。②任務(wù)準(zhǔn)備階段：為測(cè)評(píng)任務(wù)做好準(zhǔn)備工作，確保順利執(zhí)行。③任務(wù)執(zhí)行階段：執(zhí)行實(shí)際的測(cè)評(píng)活動(dòng)，發(fā)現(xiàn)潛在的安全問(wèn)題。④任務(wù)分析階段：整理和分析測(cè)評(píng)結(jié)果，評(píng)估風(fēng)險(xiǎn)等級(jí)。⑤任務(wù)報(bào)告階段：生成最終的測(cè)評(píng)報(bào)告，向客戶(hù)交付結(jié)果。⑥任務(wù)總結(jié)階段：復(fù)盤(pán)整個(gè)測(cè)評(píng)過(guò)程，積累經(jīng)驗(yàn)，優(yōu)化流程。

全流程中任務(wù)狀態(tài)變化：未開(kāi)始→ 已創(chuàng)建→準(zhǔn)備就緒→執(zhí)行中→分析中→已完成→已歸檔。

一個(gè)完整的測(cè)評(píng)過(guò)程主要包括以下幾個(gè)方面：用戶(hù)提交應(yīng)用、測(cè)評(píng)隊(duì)列獲取任務(wù)、進(jìn)入測(cè)評(píng)管理器、分發(fā)測(cè)評(píng)任務(wù)和數(shù)據(jù)、進(jìn)行各項(xiàng)安全測(cè)評(píng)、發(fā)現(xiàn)和定位漏洞信息、生成測(cè)評(píng)結(jié)果報(bào)告等。見(jiàn)圖1。

測(cè)評(píng)模塊的核心是用戶(hù)應(yīng)用進(jìn)入測(cè)評(píng)管理器后，被分發(fā)測(cè)評(píng)任務(wù)和數(shù)據(jù)，進(jìn)行各項(xiàng)安全測(cè)評(píng)，發(fā)現(xiàn)和定位漏洞信息。圖2用來(lái)描述測(cè)評(píng)模塊完成應(yīng)用測(cè)評(píng)執(zhí)行的流程。

①Android靜態(tài)引擎。靜態(tài)引擎根據(jù)提交的APK文件，使用系統(tǒng)unzip和apktool工具分別解析應(yīng)用包信息，獲取完整的應(yīng)用權(quán)限、組件、行為等各項(xiàng)信息和應(yīng)用smali源代碼文件，結(jié)合漏洞情況，分析源代碼smali的漏洞情況，并定位到具體文件和方法。處理流程：解壓APK文件，提取AndroidManifest.xml；解析_manifest.xml，提取權(quán)限信息；定義一個(gè)簡(jiǎn)單的漏洞數(shù)據(jù)庫(kù)，包含已知的敏感權(quán)限；檢查APK文件的權(quán)限是否在漏洞數(shù)據(jù)庫(kù)中；輸出檢測(cè)到的漏洞信息。

②Android動(dòng)態(tài)引擎。動(dòng)態(tài)檢測(cè)引擎根據(jù)漏洞和風(fēng)險(xiǎn)的實(shí)際情況，在模擬設(shè)備上安裝APK文件，啟動(dòng)該應(yīng)用，使用gdb" 、busybox、drozer" 等工具來(lái)動(dòng)態(tài)攻擊和獲取應(yīng)用信息，來(lái)獲取風(fēng)險(xiǎn)信息。處理流程：代碼掃描是否存在疑似漏洞代碼，提高校驗(yàn)速度；存在則獲取當(dāng)前所在的類(lèi)信息；安裝當(dāng)前測(cè)評(píng)APK文件到模擬設(shè)備或真機(jī)；動(dòng)態(tài)啟動(dòng)測(cè)評(píng)目標(biāo)類(lèi)；獲取模擬器信息，判斷結(jié)果是否安全；回調(diào)結(jié)果給引擎調(diào)度。

③Android病毒引擎。病毒檢測(cè)結(jié)合現(xiàn)有的最優(yōu)秀的殺毒引擎，通過(guò)完全掃描APK文件內(nèi)容，來(lái)檢測(cè)APK文件安全。病毒庫(kù)支持：SOPHOS、Clamv、F_SECURE。處理流程：將APK文件提交給病毒引擎，完整掃描APK文件內(nèi)容，比對(duì)病毒庫(kù)信息。

④iOS靜態(tài)引擎。iOS" 靜態(tài)掃描引擎利用優(yōu)秀的反匯編工具radare2，反匯編提取用戶(hù)源代碼中的關(guān)鍵信息用于分析，與搜集的代碼漏洞進(jìn)行相應(yīng)匹配檢測(cè)，快速定位漏洞信息。主要流程：獲取用戶(hù)提交的ipa包；解壓縮ipa包，獲取應(yīng)用信息；通過(guò)解壓縮的ipa包獲取代碼文件，并使用radare2打開(kāi)，執(zhí)行初始化反匯編工作；通過(guò)radare2獲取代碼信息，讀取漏洞數(shù)據(jù)庫(kù)文件；使用正則表達(dá)式匹配反編譯輸出，檢測(cè)漏洞；打印輸出檢測(cè)到的漏洞結(jié)果。

⑤源碼掃描引擎。測(cè)評(píng)系統(tǒng)源碼掃描使用sonar" 的掃描引擎，能夠支持多種源代碼檢測(cè)，如java、php、javascript、python等，能夠覆蓋眾多的檢測(cè)業(yè)務(wù)場(chǎng)景，并可基于源碼掃描檢測(cè)規(guī)則定制化開(kāi)發(fā)特定的代碼檢測(cè)邏輯。測(cè)評(píng)系統(tǒng)基于用戶(hù)直接提交的源碼包或者應(yīng)用包關(guān)聯(lián)提交的源碼包，調(diào)用sonar-scanner快速掃描靜態(tài)源代碼漏洞信息，詳細(xì)展示代碼漏洞詳情和修復(fù)示例。

⑥Web掃描引擎。測(cè)評(píng)系統(tǒng)Web掃描使用OWASP" Zap的掃描引擎，Web掃描引擎主要是在開(kāi)發(fā)和測(cè)試應(yīng)用程序過(guò)程中，自動(dòng)發(fā)現(xiàn)Web應(yīng)用程序中的安全漏洞，評(píng)估風(fēng)險(xiǎn)漏洞的潛在危害，提供對(duì)應(yīng)漏洞的修復(fù)方案等。測(cè)評(píng)平臺(tái)的Web掃描，通過(guò)url地址進(jìn)行訪問(wèn)與掃描，發(fā)現(xiàn)其存在的隱患，主要覆蓋路徑遍歷、文件包含、跨站腳本攻擊、跨站請(qǐng)求偽造、sql注入等內(nèi)容。

⑦引擎調(diào)度。RabbitMQ隊(duì)列服務(wù)器將需要測(cè)評(píng)的引擎信息發(fā)送給引擎調(diào)度，引擎調(diào)度時(shí)會(huì)反編譯應(yīng)用文件信息，獲取包名、簽名、應(yīng)用包信息、獲取源代碼，更新所選擇的檢測(cè)項(xiàng)類(lèi)型，并繼續(xù)分發(fā)到動(dòng)態(tài)、靜態(tài)、病毒等引擎進(jìn)行相關(guān)測(cè)評(píng)工作，獲取當(dāng)前引擎工作進(jìn)度和檢測(cè)引擎的回調(diào)結(jié)果。

⑧模擬設(shè)備管理。管理模擬器設(shè)備的創(chuàng)建、啟動(dòng)、工具安裝、內(nèi)存校驗(yàn)、設(shè)備的啟動(dòng)和假死重啟。

⑨測(cè)評(píng)報(bào)告生成。移動(dòng)應(yīng)用通過(guò)上述靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)、病毒檢測(cè)、源碼掃描、Web掃描等層層檢測(cè)掃描完畢后，各項(xiàng)檢測(cè)過(guò)程中發(fā)現(xiàn)的安全漏洞信息及位置均被詳細(xì)地記錄下來(lái)，保存在結(jié)果數(shù)據(jù)庫(kù)中，并最終生成檢測(cè)評(píng)價(jià)結(jié)果報(bào)告。

6" 結(jié)語(yǔ)

移動(dòng)安全應(yīng)用檢測(cè)評(píng)估，是國(guó)家網(wǎng)絡(luò)安全監(jiān)管部門(mén)加強(qiáng)對(duì)網(wǎng)上信息監(jiān)控，督促互聯(lián)網(wǎng)企業(yè)依法履行網(wǎng)絡(luò)安全義務(wù)和主體責(zé)任的一項(xiàng)重要舉措和工作，是維護(hù)網(wǎng)絡(luò)安全的首要任務(wù)，是防止當(dāng)前及今后互聯(lián)網(wǎng)移動(dòng)應(yīng)用運(yùn)營(yíng)者提供“帶病”移動(dòng)應(yīng)用上線(xiàn)運(yùn)行的有力措施。通過(guò)第三方具備網(wǎng)絡(luò)安全檢測(cè)評(píng)估資質(zhì)的企業(yè)開(kāi)展針對(duì)移動(dòng)應(yīng)用領(lǐng)域的安全檢測(cè)，及時(shí)有效地發(fā)現(xiàn)Android 應(yīng)用、Android SDK、iOS 應(yīng)用和 Web 應(yīng)用等應(yīng)用產(chǎn)品中的主流安全問(wèn)題，準(zhǔn)確定位問(wèn)題來(lái)源，統(tǒng)計(jì)和分析安全狀況，提供可自動(dòng)化操作、可展示、可追溯的安全性管理方式，指導(dǎo)用戶(hù)對(duì)應(yīng)用中的安全問(wèn)題進(jìn)行監(jiān)控預(yù)警和有效規(guī)避，為用戶(hù)提供安全問(wèn)題檢測(cè)及修復(fù)建議，提供代碼級(jí)的修復(fù)方案，為開(kāi)發(fā)者提供代碼修復(fù)參考，可自主快速地完成安全漏洞修復(fù)，大幅降低人力開(kāi)銷(xiāo)及技術(shù)學(xué)習(xí)成本，為用戶(hù)移動(dòng)應(yīng)用在整個(gè)應(yīng)用市場(chǎng)上架運(yùn)行前提供安全性保障，保護(hù)用戶(hù)數(shù)據(jù)及隱私安全。

參考文獻(xiàn)

[1] 楊衛(wèi)軍，秦海權(quán)，王鵬.Android移動(dòng)應(yīng)用軟件檢測(cè)平臺(tái)[J].信息網(wǎng)絡(luò)安全，2012（8）：64-66.

[2] 袁春陽(yáng).移動(dòng)智能終端應(yīng)用軟件安全檢測(cè)[J].信息安全與通信保密，2012（1）：17-17.

[3] 劉瑋，李蜀瑜.Android移動(dòng)應(yīng)用檢測(cè)研究[J].計(jì)算機(jī)應(yīng)用與軟件，2019（6）：322-326.

[4] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南：GB/Z 28828-2012[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2012.

[5] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息安全技術(shù) 移動(dòng)智能終端個(gè)人信息保護(hù)技術(shù)要求：GB/T 34978-2017[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2017.

[6] 中華人民共和國(guó)信息產(chǎn)業(yè)部.數(shù)字移動(dòng)臺(tái)應(yīng)用層軟件功能要求和測(cè)試方法：YD/T 1438-2006[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2006.

[7] 中華人民共和國(guó)信息產(chǎn)業(yè)部.數(shù)字移動(dòng)通信終端通用功能技術(shù)要求和測(cè)試方法：YD/T 2307-2011[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2011.