Gartner在其2019年7月应用内保护应用内保护市场指南中将应用内保护称为“关键” 。该指南的摘要建议安全和风险管理负责人“在保护其应用程序客户端时应格外小心”,以避免“安全性失败”。
这就提出了一个问题–什么构成“应有的注意?”,尽管术语和术语可能会有所不同,但对于如何针对任何给定的应用程序/用户方案最好地定义“应有的注意”,已达成广泛共识。“应有的护理”标准必须包括以下内容,并与之成比例:
- 应用程序及其数据的敏感性
- 某种违反或妥协发生的可能性
- 该事件可能造成的损害/风险
应用内安全控件(与任何其他控件一样)会带来一系列成本和风险。换句话说,不存在无风险的补偿控制。为了有效地管理应用程序和信息风险,必须对控制本身产生的成本和风险进行衡量,并在可能的情况下将其最小化。
无法有效管理这些抵消风险通常会导致开发成本和进度超支,并且可能更为关键的是,增加(而不是减少)应用程序风险。
衡量应用内保护的成本/影响包括:
- 实施所需时间
- 实施所需的培训/专业知识
- 在整个软件开发生命周期中增加了复杂性,例如设计,代码,测试,打包,部署,支持/监视和更新
- 降低了可移植性和/或平台支持
- 合规风险,例如隐私,出口限制等
- 生产性能和/或稳定性下降
- 额外费用或许可限制
忽视危险因素绝不是借口。同样,不知道已经建立了检测应用程序篡改或防止访问“使用中”敏感数据的技术,这会增加责任。
★广泛接受的应用内保护实施模式
下表突出显示了在过去20年中以各种形式包含在PreEmptive Protection产品Dotfuscator和DashO Pro的应用程序内保护模式,其客户已成功将其集成到几乎每个行业,地理和设备的应用程序中。
| 接受的模式 | 减少时间 | 最少的培训 | 简化的SDLC | 平台支援 | 合规 | 性能与质量 |
| 邮政编码处理 | √ | √ | √ | √ | ||
| IDE DevOps集成 | √ | √ | √ | √ | ||
| 更新了侦探控制 | √ | √ | √ | √ | √ | |
| 交钥匙侦探反应 | √ | √ | √ | √ | √ | √ |
| 以应用程序为中心的响应 | √ | √ | √ | |||
| 100%标准混淆 | √ | √ | √ | √ | ||
| 自动检测框架 | √ | √ | √ | √ | √ | √ |
| Wizards | √ | √ | √ | √ | √ | √ |
★有效的应用内保护的秘诀
当“谨慎处理”以应用内保护来保护您的应用和数据时,请利用公认的且易于理解的开发模式来最大程度地减少配置,实施和培训开销,而不会影响应用的质量、性能、可移植性或用户体验。这将确保您的控件有效且最新–有助于保护您的应用程序和数据,同时经济高效地履行合规义务。
