2022年的优先事项：自动化移动应用程序安全测试

过去两年，移动设备的使用迅速增长，移动应用市场也随之迅速发展。据预测，到2023年，移动应用的营收将超过9350亿美元。

然而，具有增长潜力的领域往往会吸引威胁行为者的注意，他们希望利用漏洞获取经济利益。这就是为什么移动应用程序安全已经成为跨行业关注的一个关键领域——特别是如果组织有一个应用程序包含有价值的知识产权(IP)或存储有敏感数据。

在整个应用开发过程中实施安全措施，并在应用发布后继续监控应用，最终确保你的手机应用程序和业务安全。

到2022年，移动应用程序安全测试可能将是任何拥有移动应用程序的组织的优先事项。为了了解其中的原因，让我们看看移动应用程序遇到的典型安全威胁，以及这些威胁可能对组织产生的影响。

移动应用安全威胁

移动应用程序容易受到一些独特的威胁。

例如，考虑 MATE(终端人)攻击向量。攻击者可以在本地设备上加载移动应用程序，然后使用专门的工具和资源来检查和逆向工程应用程序。这让他们能够获得应用程序如何运行的“秘密武器”。

其他移动应用程序安全漏洞包括不安全的数据存储、安全错误配置和不安全的通信，所有这些都符合OWASP十大移动风险列表。如果没有多层保护，或者没进行安全检测，您的应用程序很容易成为各种威胁的受害者。

尽管移动应用安全威胁的严重性和复杂性各不相同，但结果通常都是一样的:数据泄露、IP被盗、收入损失和客户信任的丧失。这就是为什么移动应用的安全性需要在移动应用开发生命周期的每个阶段都受到关注。

进入移动应用安全测试

当移动应用安全包括频繁的测试以获得真实的反馈时，移动应用开发者就能更好地识别和缓解移动应用安全威胁和漏洞。

移动应用程序安全测试是扫描应用程序以识别可能影响移动应用程序的潜在安全问题的过程。尽管应用程序扫描的具体需求可能有所不同，无论是出于遵从性还是为了响应安全事件，其目标都是有效地加强应用程序并降低风险。

有两种方法可以考虑测试应用程序：静态分析和动态分析。尽管两者都非常有效，但当它们结合使用时，可以大大提高您的移动应用程序的安全性。

渗透测试效果如何?

传统上，移动应用团队将渗透测试作为手机应用测试的首选形式。尽管一种有效的安全评估方法——渗透测试可以识别出代码加固和防篡改保护的缺失——但它在快节奏的移动应用开发世界中并不总是有效。

渗透测试既昂贵又缓慢。这些发现通常在实际的软件开发过程之外与开发团队分享讨论，时间通常会在几个月之后。从而导致组织面临一个艰难地决定：按时发布应用还是解决已发现的安全风险问题?

如果确定风险是可控的，则反馈可能不会去解决。但如果风险足够高，开发团队将需要放弃一切来修复它，从而对新应用功能的开发和发布产生连锁反应。很容易看出这个过程如何使安全团队和移动应用程序开发团队相互对立。

这也强调了识别和选择专门为移动应用程序设计并为开发人员构建的安全测试工具的重要性。一个对开发人员友好的移动安全工具提供可操作的反馈，从而可以更好地协调开发和安全团队。

为什么优先考虑自动化应用程序安全测试?

在一个组织需要不断创新以满足客户快速变化的需求的世界里，组织不能冒险使用不安全的应用程序。

到2022年，预计应用程序安全测试将可能成为移动应用程序开发团队的职责，通过自动化工具的支持来完成，如检测安全的静态应用安全测试、动态应用安全测试、开源组件成分分析等。这使得测试过程具有成本效益和可管理性，因此开发团队可以经常获得关于手机应用安全性的反馈。自动化的测试工具可以让开发人员按照自己的意愿(或需要)进行频繁的移动应用测试，从而为团队进行高效、成功的外部评估或渗透测试做好准备。

移动应用程序正日益成为用户与企业互动的主要方式。2022年优先考虑应用程序安全扫描将使组织能够采取主动防御措施，防止数据泄漏、IP盗窃、收入损失和声誉受损。

文章来源：

https://www.helpnetsecurity.com/2022/01/24/mobile-application-security-testing/