行動App是當前應用程式的主流類型,然而在App市集上的眾多應用程式當中,仍有不少潛藏著資安問題,像是安全性漏洞、憑證不安全、加密強度不足,以及要求過高權限、寫死程式碼認證方式,甚至本身就是惡意程式,因此,無論是開發與提供行動應用程式的企業,或是純粹安裝執行的前端使用者,都很關注行動App本體是否夠安全。

而在應用程式開發生命週期裡面,企業若要知道目前使用的行動App是否具有資安問題,通常需要導入安全性檢測的程序,目前可以採用黑箱測試、白箱測試、灰箱測試等方式來驗證,市面上,也早有多種工具來幫忙檢測,像是Micro Focus旗下的Fortify系列、Checkmarx,但若是專門針對行動App資安檢測的解決方案並不多見,去年我們看到叡揚資訊引進臺灣的Kryptowire,算是難得的一例。

Kryptowire從名稱來看,很容易讓人以為是網路連線加密的資安廠商或產品,實則不然,他們是專精於企業行動App安全檢測領域的廠商,成立於2011年,更特別的是,他們是原本是隸屬於美國國防高等研究計畫署(DARPA),以及國土安全部科學及科技政策局(DHS S&T)的技術單位,提供軍用等級的自動化軟體資安品質保證能力,以及法規遵循程度測試的技術。

就解決方案的使用形式而言,Kryptowire提供SaaS雲端服務與整合應用設備等兩種選擇,主要針對的行動應用程式執行平臺是iOS與Android(未來將支援Windows,目前已進入beta測試階段)。

企業若要檢測行動App,可到Kryptowire的網頁操作介面,上傳Android應用程式套件檔(APK檔),以及iOS應用程式封裝檔(IPA檔),也可以在App市集輸入關鍵字來搜尋指定App,或者是複製、貼上該支App在應用程式市集的URL網址連結;若一次要檢測多支App,這裡也支援大量上傳(Bulk Submit)的輸入機制。

而在App安全檢測標準上,Kryptowire可驗證應用程式是否遵循IT業界與公部門的行動App資安要求,例如,OWASP十大行動安全風險(OWASP Mobile Top 10)、美國國家資訊安全保障合作組織(National Information Assurance Partnership,NIAP)的應用程式軟體保護組態(Protection Profile for Software Applications),以及近年來備受各界關注的歐盟一般資料保護規範(GDPR)。

此外,Kryptowire也支援美國國家標準暨技術研究院(NIST)的行動應用程式安全標準SP 800-163,以及PCI、HIPAA等法規遵循要求,甚至是我國經濟部工業局制定的行動應用App基本資安檢測基準V3.0,同樣也已經整合在內,可協助跨國與臺灣企業檢測行動App安全性。

在使用者操作介面上,Kryptowire可支援多國語言的切換,難得的是,當中包含了正體中文,可降低臺灣用戶學習門檻。

產品資訊

Kryptowire
●代理商:叡揚資訊
●建議售價:廠商未提供
●應用程式安全檢測類型:黑箱測試
●可檢測的應用程式作業系統平臺:iOS、Android
●解決方案部署形式:SaaS雲端服務、整合應用設備
●遵循標準:NIAP、HIPAA、GDPR、OWASP、PCI、NIST、工業局行動應用App基本資安檢測基準 V3.0
●使用介面多國語言切換:英、中、日、德、越

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

 

熱門新聞

Advertisement