隨著無(wú)線網(wǎng)絡(luò)和移動(dòng)通信技術(shù)的發(fā)展，智能手機(jī)功能日趨強(qiáng)大,，因此也將APP市場(chǎng)帶動(dòng)了起來(lái),。但是隨著手機(jī)操作系統(tǒng)日益標(biāo)準(zhǔn)化，網(wǎng)絡(luò)攻擊手段不同往日,，黑客已經(jīng)可以像攻擊電腦信息系統(tǒng)一樣針對(duì)手機(jī)系統(tǒng)發(fā)起攻擊,，同時(shí)，APP的特點(diǎn)使其同時(shí)暴露在眾多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅之下,，容易遭受到病毒,、木馬、蠕蟲(chóng)等惡意程序的攻擊,。

構(gòu)建安全軟件,，而不只是代碼和測(cè)試階段的軟件。一個(gè)公司如果能夠在軟件app開(kāi)發(fā)過(guò)程中更加注重軟件安全性,，并且盡可能早的發(fā)現(xiàn)軟件開(kāi)發(fā)周期中存在的安全漏洞,，那么它就可以大大節(jié)省成本。計(jì)劃好地進(jìn)行安全測(cè)試,，極大地減少安全風(fēng)險(xiǎn),，并使企業(yè)的安全目標(biāo)與企業(yè)總體業(yè)務(wù)目標(biāo)相一致,。從系統(tǒng)規(guī)劃,、研究開(kāi)發(fā)、上線,、運(yùn)營(yíng),、變更、廢棄等各個(gè)環(huán)節(jié)都要考慮其安全性,，應(yīng)用系統(tǒng)的安全防護(hù)不僅要考慮開(kāi)放的業(yè)務(wù)系統(tǒng),，還要考慮內(nèi)部網(wǎng)絡(luò)系統(tǒng)和信息系統(tǒng)。

為確保APP的安全性與合規(guī)性,，有必要對(duì)其實(shí)施有效的安全評(píng)估,。

　　app安全測(cè)試怎么測(cè)？

　　安全測(cè)試常用方法：

　　(1)代碼審計(jì)

　　 代碼審計(jì)主要是通過(guò)代碼走讀的方式對(duì)源代碼的安全性進(jìn)行測(cè)試,，常用的代碼檢查方法有數(shù)據(jù)流,、控制流、信息流等,，通過(guò)這些測(cè)試方法與安全規(guī)則庫(kù)進(jìn)行匹配,，進(jìn)而發(fā)現(xiàn)潛在的安全漏洞,。靜態(tài)代碼檢查方法主要是在編碼階段進(jìn)行測(cè)試，盡可能早地發(fā)現(xiàn)安全性問(wèn)題,。

　　(2)動(dòng)態(tài)滲透測(cè)試

動(dòng)態(tài)滲透測(cè)試法主要是借助工具或手工來(lái)模擬的輸入,，對(duì)應(yīng)用程序進(jìn)行安全性測(cè)試，進(jìn)而發(fā)現(xiàn)系統(tǒng)中的安全性問(wèn)題,。動(dòng)態(tài)滲透測(cè)試一般在系統(tǒng)測(cè)試階段進(jìn)行,，但覆蓋率較低，因?yàn)樵跍y(cè)試過(guò)程中很難覆蓋到所有的可能性,，只能是盡量提供更多的測(cè)試數(shù)據(jù)來(lái)達(dá)到較高的覆蓋率,。

　　(3)掃描程序中的數(shù)據(jù)

　　系統(tǒng)的安全性強(qiáng)調(diào)，在程序運(yùn)行過(guò)程中數(shù)據(jù)必須是安全的,，不能遭到破壞,，否則會(huì)導(dǎo)致緩沖區(qū)溢出的攻擊。數(shù)據(jù)掃描主要是對(duì)內(nèi)存進(jìn)行測(cè)試,，盡量發(fā)現(xiàn)諸如緩沖區(qū)溢出之類(lèi)的漏洞,，這也是靜態(tài)代碼檢查和動(dòng)態(tài)滲透測(cè)試很難測(cè)試到的。

（4）漏洞掃描

基于漏洞數(shù)據(jù)庫(kù),，通過(guò)自動(dòng)化工具掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè),。發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)行為。