效率即安全：iOS應(yīng)用程序?qū)男绿嶙h的Security.plist標(biāo)準(zhǔn)中受益

IT之家11月30日消息 據(jù)外媒報道，安全研究員Ivan Rodriguez于本月初提出了一項最新的iOS App安全標(biāo)準(zhǔn)并將其命名為Security.plist，其靈感來源于Security.txt標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)需要應(yīng)用程序制造商創(chuàng)建一個名為security.plist的屬性列表文件并將其嵌到iOS應(yīng)用程序的根目錄中。據(jù)悉，該文件將包含所有基本的信息以便向開發(fā)者匯報安全漏洞。

Rodriguez表示創(chuàng)建Security.plist的想法來自于Security.txt，而Security.txt目前正在互聯(lián)網(wǎng)工程任務(wù)組（IETF）的帶動下展開標(biāo)準(zhǔn)化制定工作且已被業(yè)界廣泛采用，除此之外還得到了包括谷歌、Github、LinkedIn和Facebook等科技巨頭的支持。

值得注意的是Rodriguez本身就是一位利用業(yè)余時間來查找iOS應(yīng)用程序漏洞的研究人員。他表示自己大部分時間都是在App中“閑逛”也因此發(fā)現(xiàn)了許多漏洞，不過目前尚未發(fā)現(xiàn)一種可輕松找到相關(guān)責(zé)任人和正確披露渠道的簡便方法。而且常用的方式往往都是與不專業(yè)的商務(wù)或營銷人員對接，而們后者可能并不知道如何應(yīng)對漏洞問題及其嚴(yán)重程度。

因此Rodriguez提議安全員及開發(fā)者不妨在應(yīng)用程序根目錄中留下一份plish文檔并在其中備注適當(dāng)?shù)穆?lián)系方式以便溝通和解決問題。不過目前他也只是提出了這個想法且希望聽取應(yīng)用開發(fā)商的意見。

Rodriguez向ZDNet表示：“目前我已經(jīng)聽取了大量的反饋，可能許多人都與我有共鳴。盡管現(xiàn)在實施security.plist標(biāo)準(zhǔn)可能為時尚早，但我還是希望它在移動應(yīng)用程序的部署上流行開來”。

Rodriguez還專門為security.plist打造了一個網(wǎng)站，每一位應(yīng)用程序開發(fā)商都可以在其中創(chuàng)建一個基本文件并將其嵌入到自己的App中。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。