是时候审核您的代码了,因为 iOS 或 Android 应用程序中使用的某些无代码/低代码功能似乎并不像您想象的那么安全。 一份报告解释说,美国陆军、CDC、英国工党和其他实体的应用程序正在使用伪装的俄罗斯软件,这是最大的收获。
当华盛顿成为西伯利亚
问题在于,一家名为 Pushwoosh 的公司开发的代码已部署在来自数千家实体的数千款应用程序中。 路透社解释说,其中包括疾病控制和预防中心 (CDC),该中心声称它被引导相信 Pushwoosh 位于华盛顿,而实际上开发商位于西伯利亚。 访问 Pushwoosh 推特提要显示该公司声称位于华盛顿特区。
该公司提供可在应用程序内使用的代码和数据处理支持,以分析智能手机应用程序用户的在线行为并发送个性化通知。 CleverTap、Braze、One Signal 和 Firebase 提供类似的服务。 现在,公平地说,路透社没有证据表明该公司收集的数据遭到滥用。 但该公司总部位于俄罗斯这一事实存在问题,因为信息受当地数据法的约束,这可能会带来安全风险。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
当然,它可能不会,但参与处理可能被视为敏感的数据的任何开发人员都不太可能愿意承担这种风险。
背景是什么?
虽然此时有很多理由怀疑俄罗斯,但我确信每个国家都有自己的第三方组件开发商,他们可能会或可能不会将用户安全放在首位。 挑战在于找出哪些有效,哪些无效。
诸如此类来自 Pushwoosh 的代码在应用程序中得到使用的原因很简单:这与金钱和开发时间有关。 移动应用程序开发可能会变得昂贵,因此为了降低开发成本,一些应用程序将使用来自第三方的现成代码来完成某些任务。 这样做可以降低成本,而且鉴于我们正在迅速转向无代码/低代码开发环境,我们将看到更多这种应用程序开发的建模方法。
这很好,因为模块化代码可以为应用程序、开发人员和企业带来巨大好处,但它确实突出了任何使用第三方代码的企业都必须检查的问题。
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
谁拥有您的代码?
代码在多大程度上是安全的? 使用代码收集了哪些数据,这些信息去了哪里,最终用户(或应用程序上有名字的企业)拥有什么权力来保护、删除或管理这些数据?
还有其他挑战:使用此类代码时,是否定期更新? 代码本身是否安全? 测试软件时的严格程度如何? 该代码是否嵌入了任何未公开的脚本跟踪代码? 使用什么加密方式以及数据存储在哪里?
问题是,如果对这些问题中的任何一个的回答是“不知道”或“不知道”,那么数据就处于危险之中。 这强调了对任何模块化组件代码的使用进行稳健安全评估的必要性。
数据合规团队必须严格测试这些东西——“最低限度”的测试是不够的。
我还认为,将收集的任何数据匿名化的方法很有意义。 这样,如果有任何信息泄露,滥用的可能性就会降到最低。 (个性化技术在交易过程中缺乏强大的信息保护的危险在于,这些数据一旦被收集,就会成为安全风险。)
Cambridge Analytica 的含义肯定说明了为什么混淆在互联时代是必需的?
Apple 似乎当然明白这种风险。 Pushwoosh 用于大约 8,000 个 iOS 和 Android 应用程序。 路透社援引专家的话说,开发商表示其收集的数据并未存储在俄罗斯,但这可能无法保护数据不被泄露,这一点很重要。
从某种意义上说,这并不重要,因为安全是基于先发制人的风险,而不是等待危险发生。 鉴于大量企业在遭到黑客攻击后倒闭,安全策略总比后悔好。
这就是为什么每个开发团队依赖现成代码的企业都应该确保第三方代码与公司安全策略兼容。 因为这是你的代码,上面有你的公司名称,任何因合规性测试不充分而滥用该数据的问题都将是你的问题。
