为泛终端软件保驾护航 2019软件绿色联盟开发者大会闭幕
导读: 11月19日,2019软件绿色联盟开发者大会在国家会议中心顺利召开。本次大会议题精彩纷呈,不仅有来自各行业的专家大咖解读当下泛终端软件发展趋势,还有来自互联网公司的一线软件绿色联盟开发者大会在国家会议中心顺利…
11月19日,2019软件绿色联盟开发者大会在国家会议中心顺利召开。本次大会议题精彩纷呈,不仅有来自各行业的专家大咖解读当下泛终端软件发展趋势,还有来自互联网公司的一线软件绿色联盟开发者大会在国家会议中心顺利召开。本次大会议题精彩纷呈,不仅有来自各行业的专家大咖解读当下泛终端软件发展趋势,还有来自互联网公司的一线名开发者前沿技术落地实践。作为软件行业发展的基础,信息安全技术是生态建设中必不可少的一环。在本次大会中,诸多专家学者共同讲述了他们在安全领域的实践经验,为参会者指点迷津。
在大会开始,软件绿色联盟理事长杨便对绿盟在安全方面做出的贡献进行了梳理。作为一家性非盈利性组织,软件绿色联盟持续致力于为用户打造安全信赖、健康、放心的中国软件绿色生态。为持续规范应用行为,提升用户使用体验,今年联盟制订了《软件绿色联盟应用体验标准3.0》。新的标准在安全方面着墨颇多,不仅新增了隐私标准,还进一步完善了全线的机制。此外,在大会上还有诸多来自联盟的技术专家发表了在软件安全方面的技术观点。
在大会主论坛上,蚂蚁金服副总裁韦韬针对当下安全形势了《移动设备可信基(TCB)的与》。
韦韬表示,当前互联网产业中的安全和隐私越来越重要,而其核心还是在于获得用户的信任。信任是社会中最重要的综合力量之一,它会简化人与人之间的合作关系,也让各种社会活动更高效的推进。关键技术推广时,也必须要解决信任问题。科技信任不仅仅是纯技术问题,既有的刚性部分也有感性的弹性空间。科技公司首先要知托付,对用户托付的风险充满;其次要守有责,要尽到自己的社会责任和业务责任;最后要零透支,不能让用户信任的情感弹性过载,要及时解决出现的安全和隐私问题。一旦透支用户的信任,将会对公司和行业都会造成严重的打击,修复需要漫长的时间和巨大的代价。
TEE被赋予了越来越多的职责,也面临着越来越多的挑战,也是未来整个行业需要携手共同推进解决的问题。首先是TEE在承载越来越复杂的可信应用的时候,要保障和验证的不只是TEE内核的安全,TEE应用的安全验证和保障也愈发重要;其次,TEE也是下一步解决隐私的重要途径,但需要业界共推标准化;同时,现在黑产已经在移动设备上的隐私机制,反过来对用户的隐私、资产和权益造成严重,业界也急需发展和标准化隐私同时能追踪黑产的可信技术,这对于行业的健康发展也至关重要,真正形成对整个社会大众的普惠。
大会下黄菊秘书午还开设了 “安全、性能与体验优化”专题分论坛, 360安全技术总监曹阳分享了《移动安全攻与防》。
随着移动互联网的快速发展,破解者的技术也日新月异,开发者的防御成本持续增高。在终端代码的破解、逆向等领域,攻防的焦点从整体上来讲分为3个点:注入、运行和协议。注入就是黑客对进程的入侵,分为有root权限方式和无root权限方式;运行就是在进程内能做哪些操作,例如内存修改、进程调试、函数拦截、程序脱壳、代码等;协议就是目标进程与第三方进行通信,其通信过程如何被拦截、和伪造。
针对这些安全,360团队的方案分4类:程序加壳、协议、源码和H5。程序加壳解决的是注入和运行里大部分的问题,核心技术是代码虚拟化等;协议,主要针对程序加壳不了的通信部分。技术上基本围绕HTTPS的证书校验做防护;源码,是对SO的强度提升,把方案提前到开发编译的时候;核心技术是基于LLVM中间语言的虚拟化;H5,为了满足混合开发的安全需求而推出,核心技术有Webview强化、H5自自解密、Js虚拟化等方案。
随后,腾讯安全高级工程师王葵也对移动应用软件供应链中第三方SDK的安全隐患与监测做出了。
第三方SDK已经成为移动开发上越来越重要的一个环节,各类的APP平均会集成将近20个SDK。但第三方SDK在广泛使用的同时,其相关的安全问题也日益凸现。主要包括在3个方面。第一,第三方SDK的开发者在安全能力水平是参差不齐的,并且绝大部分的SDK都缺乏必要的安全审核环节,可能会引入一些安全漏洞。第二,第三方SDK私自收集用户数据;第三,一些恶意的开发者已经深入到SDK的开发环节,通过提供第三方服务的形式来吸引APP开发者来使用他们的SDK,在应用运行期间通过云端控制来下发指标的形式来做恶意的操作。
SDK监测解决方案主要包含4个部分,第一,第三方SDK的识别,主要就是要分析APP中集成了哪些第三方的SDK;第二, SDK恶意性的监测,通过APP的恶意监测比较,监测是否存在一些移动端病毒定义的相关恶意行为;第三,SDK的漏洞和隐私合规的监测,主要监测SDK之中是否存在安全漏洞和搜集使用的数据是否符合隐私规范;第四,SDK运行时的行为,很多SDK存在着热更新的能力,需要它在运行期间是否有下发恶意子包的行为。
当前的移动终端软件所面临的安全与传统网络有一定的区别,随着移动端用户的数量暴增,移动安全的重视程度也随之提升。
华为消费者BG OS产品总监黄明功在《华为终端软件分布式体验实践及能力总览》的中,对当下的移动终端软件变化进行了详细的解读。黄明功表示,当前全球智能手机总持有量趋于稳定,但随着5G时代的到来,未来泛终端设备将会继续高速增长。与此同时,当前的泛终端设备是一个一个的信息的孤岛,会导致泛终端设备联网率和使用率低,消费者从购买到使用,每个操作环节都在用户的耐心,厂商存在巨大潜在损失。
同时,移动应用目前在竞争中突围的代价进一步增加,如果不能迈出传统领域,泛终端生态,非TOP应用将会陷入困境。对于开发者来讲,在这种局面下还有新的挑战出现,多操作系统、多设备类型、多语言开发、开发多形态UI、代码库、数据源集成等诸多问题都在泛终端软件生态的变化中构成了新的难题。安全,自然也是一条不能忽视的沟壑。
那么在泛终端软件方面的安全应当如何解决呢?答案并不唯一。华为CBG软件部HiAI架构师周昕宇就提出了HiAI在这方面的见解。由于现在端侧AI已成为移动终端的必备能力,而且以手机为核心的端侧AI已成业界共识,更多手机将内置AI能力。端侧的AI与云侧对比,端侧AI拥有“安全、成本、时延”三大核心优势,其中的安全优势便主要体现在用户数据不离开设备,从而实现更好的隐私,这也不失为一种终端安全的之法。
移动软件的安全生态建设是一个巨大的工程,而且者的技术也会随时间而升级,一攻一防之间显示出的这一工作必然漫长。就像有光之处必有阴影存在,网络安全问题就如光影叠加一般,者被,防御者必须为用户而战。而软件绿色联盟就是需要聚集行业优秀人才,制定高标准、严要求的安全标准,引领各大厂商尽心竭力,泛终端软件用户的信息安全,让将网络拒之门外,让黑产没有空间,打造值得用户信任绿色软件,共建和谐软件生态。
来源:
免责声明:凡本网转载自其他媒体的作品,目的在于传递更多信息,如因作品内容、版权或其他问题引起的纠纷,请及时与我们联系,将在24小时内作更正、删除等相关处理。