軟件開發(fā)過程中出現(xiàn)的安全問題和解決方案

軟件開發(fā)過程中出現(xiàn)的安全問題和解決方案

       由于現(xiàn)在軟件開發(fā)技術(shù)不在是獨(dú)家的技術(shù)，其變得越來越普及，許多企業(yè)都可以參與到軟件的開發(fā)上來，這就使得軟件開發(fā)市場越來越龐大。但隨著市場的發(fā)展和龐大，各種軟件程序的安全問題也隨之出現(xiàn)，那么，軟件在開發(fā)過程中出現(xiàn)一下安全問題，企業(yè)該如何解決呢？

1、反編譯安全

軟件源代碼對于一個(gè)公司而言，是非常重要的信息資源。因此，源代碼的安全非常重要。如果公司不重視對源代碼的保護(hù)，一旦被人反編譯惡意讀取時(shí)，那么軟件的邏輯，就會被他人盜取。在這時(shí)我們要采取加密，或者是混淆技術(shù)達(dá)到反編譯的保護(hù)?；煜龝黾臃淳幾g后閱讀代碼的難度。從而保護(hù)了app的安全。

解決方法：因?yàn)椋瑸榱吮Ｗo(hù)軟件源代碼的安全，企業(yè)可以采用加密和混淆技術(shù)達(dá)到反編譯保護(hù)，保證軟件源代碼的安全。最重要的是，混淆技術(shù)作用是增加了用戶反編譯后閱讀代碼的難度，因此，有利于保證源代碼的安全。

2、App二次打包

軟件二次打包的意思，就是將正規(guī)的app破解后，植入惡意的代碼，并將其重新打包。即，軟件破解版。二次打包的軟件基本上和正規(guī)的關(guān)鍵沒什么區(qū)別。但與正版不同的是，破解版對手機(jī)或電腦是很不利的，因?yàn)樗鼤谙麩o聲息的將損壞設(shè)備，并泄露機(jī)主隱私等。

解決方法：以上情況的解決方法就是客戶端使用從屬方證書進(jìn)行簽名后進(jìn)行發(fā)布的正版軟件，而不是使用第三方開發(fā)商的證書進(jìn)行簽名。這么做是為了防止開發(fā)商內(nèi)部監(jiān)管異常，證書濫用的情況出現(xiàn)。

3、數(shù)據(jù)安全

軟件所在目錄的文件權(quán)限; SQLite數(shù)據(jù)庫文件的安全性; Logcat日志; 敏感數(shù)據(jù)明文存儲于SD儲存卡。

解決方法:檢查軟件程序目錄的保存位置，找到之后對軟件進(jìn)行一下幾項(xiàng)設(shè)置。一是將軟件的權(quán)限設(shè)置為不允許其他組成員讀寫。二是對重要信息進(jìn)行加密存儲。三是將具有敏感信息的調(diào)試信息開關(guān)關(guān)閉。四是將文件另存為之前，先提前對文件內(nèi)容進(jìn)行加密保護(hù)。

4、訪問控制

訪問控制的問題也十分復(fù)雜，需要測試一下問題。一是測試用戶端是否是正常訪問UR，并且是否由手機(jī)進(jìn)行訪問。而是測試客戶端是否可以繞過登錄限制，直接訪問登錄后才能訪問的頁面。

解決方法：建議服務(wù)器進(jìn)行相關(guān)的訪問控制，控制對應(yīng)頁面只能用過手機(jī)客戶端進(jìn)行訪問，這樣才可以確保訪問控制的安全性。同時(shí)，需要對頁面進(jìn)行訪問控制，防止其他人員繞過登陸，直接就對頁面進(jìn)行非法訪問。

5、數(shù)據(jù)備份

系統(tǒng)為應(yīng)用程序的數(shù)據(jù)提供了備份和恢復(fù)功能。如此一來，如果重要的商業(yè)信息或機(jī)密文件等信息被備份之后，備份者在其他手機(jī)或模擬器上安裝同一個(gè)應(yīng)用，并且將備份數(shù)據(jù)恢復(fù)其他設(shè)備上，則可能會造成信息泄露和財(cái)產(chǎn)損失等重大錯誤。

處理措施:根據(jù)上面講述的問題的嚴(yán)重性，如果數(shù)據(jù)自動備份，則會產(chǎn)生一些嚴(yán)重的后果，因此，其解決辦法就是將數(shù)據(jù)備份設(shè)置為默認(rèn)不備份應(yīng)用數(shù)據(jù)。