因为企业难以跟上其内部对移动应用的需求,越来越多的人转向更快速的开发流程中,如最小可行产品(MVP),本质上要求移动开发团队专注于工作相比,风险回报率最高的选择应用程序开发时,以及在其中构建的功能。也就是说:专注于用户真正会使用的应用程序和功能,而忽略那些用户不会使用的应用程序和功能。
听起来很简单,但这对安全来说意味着什么呢?我们知道应用程序安全是数据安全最重要的方面之一,但如果软件团队比以往任何时候都更快地推出应用程序,安全性和质量保证就需要与此同时。
另一方面,应用程序和功能的最小化可能意味着更少的攻击面。为了获得关于移动应用程序安全状况和MVP安全保障的一些答案,我们联系了计算机安全研究负责人Isaac Potoczny-Jones,他是计算机安全研究和开发公司Galois的计算机安全负责人。
galois.com
艾萨克Potoczny-Jones
Potoczny-Jones自2004年以来一直是Galois的项目负责人,是一个活跃的密码学和编程语言的开源开发人员。艾萨克领导了许多成功的政府组织安全和身份管理项目,包括(海军,国防部),(DHS),开放科学网格联邦身份(DOE),移动无密码认证(DARPA),以及硬件设备防伪造认证(DARPA)。
请告诉我们一些关于伽罗瓦和你在那里的安全工作。
Galois是俄勒冈州波特兰市的一家计算机安全研发公司。我们与美国联邦政府有很多合作,从1999年开始,我在这里已经工作了11年。关于这个话题我想了很多,我非常欣赏并运用精益方法进行产品开发,我喜欢精益创业方法。我也为公司做安全分析,所以我也去过一些初创公司,查看他们的产品或基础设施的安全配置文件,帮助他们开发安全程序。我已经看到了问题的两个方面,MVP的想法会把你引向哪里。
在移动安全方面,你在企业内部看到了什么?
毫无疑问,手机领域还在不断发展。移动领域的最佳实践不如网络领域的最佳实践。现在好一点了。考虑HTTPS。很长一段时间以来,我们看到的是Web上的一些相对简单的东西,HTTPS就是。在人们真正注意到这一点之前,人们在移动设备上做错了很多年。使用HTTPS你可能会犯很多错误,而且他们都错了。随着人们转向移动领域,他们必须重新学习我们在过去几年里学到的一些经验教训。
密码安全是另一个问题。人们开始在网站上设置更加可靠的密码。在大多数网站上,你再也不能只使用四五个字母的密码了。但由于在移动设备上输入密码非常困难,许多网站放宽了这些密码规则。在现实中,威胁一如既往。
你认为最小可行产品或最小可行应用趋势的影响是什么?
在MVP方面,安全性是一个非常有趣的挑战,因为安全性是非功能性需求。我倾向于精益scrum方法。我不知道你们是否熟悉这个,但我可以用这个作为例子。它们在某些方面都很相似。他们强调功能,强调用户可以看到的东西。他们强调测试想法,并将其推向市场。测试它们,收集关于它们的有效性的指标,并将其作为产品的反馈。这是一个开发产品的好主意。因为即使只是术语,最小可行产品,它也强调最小化。
它强调摆脱你不需要的东西。把这些东西放在一起,把事情最小化,真正强调用户能做什么,能看到什么,这使得非功能性需求成为一种事后考虑。你必须考虑如何将安全性等非功能性需求应用到scrum等过程中。