美国国家标准技术学院(NIST)宣布,它发布了旨在为联邦机构提供对使用第三方移动应用程序的利弊的概述的初稿。
一方面,移动劳动力可以提高政府的效率和生产力;但是,另一方面,联邦雇员使用移动设备可能会给代理商安全经理带来压力大的情况,例如将敏感的数据和网络资源置于危险之中。
计算机安全专家nist希望通过起草新指南来审查第三方移动应用程序,以解决这些问题。
标题为“审查第三方移动应用程序的技术考虑因素NIST官员说:“ 43页的文件提供了有关帮助机构在管理风险的同时优化其移动应用程序的建议。
出版物草案的一个特别重要的部分详细介绍了允许软件安全分析师识别和理解应用程序在绿色光线供员工使用之前识别和理解漏洞的测试类型。
NIST计算机安全部的计算机科学家Tony Karygiannis说:“代理商需要知道移动应用程序的真正作用,并了解其潜在的隐私和安全性影响,以便他们减轻任何潜在的风险。” “许多应用程序可能会访问比预期更多的数据,而移动设备具有许多物理数据传感器的连续收集和共享信息。”
Karygiannis说,一种潜在的风险是,可以通过日历应用程序,社交媒体应用,Wi-Fi传感器或与GPS相关的其他公用事业在不知不觉中跟踪个人。
NIST研究人员说,除了安全性和隐私风险外,许多设计较差的应用程序可能会迅速耗尽电池寿命,并且对于那些在该领域工作的员工而言,对电源源的访问权限有限。
NIST的指南旨在维持开发人员的问责制,他们有时在不彻底测试其代码并确保应用程序质量的情况下将应用程序赶到市场上。
代理机构对廉价的第三方移动应用程序的使用越来越多,以提高其整体生产率,这使员工在移动设备上开展了更多的政府业务。
最重要的是,员工通常只使用少数应用程序来进行大部分工作。
由于这一趋势,NIST的研究人员呼吁机构对他们在移动平台上使用的应用程序采用一系列要求。机构应该开发一个应用程序审查系统,该系统由各种工具和方法组成,这些工具和方法可以识别安全性,隐私,可靠性,功能,可访问性和性能问题。
除这些建议外,研究人员还建议,安全管理人员和软件分析师遵循提出的预防措施,包括对涉及移动应用程序的安全性和隐私风险有牢固的掌握,以及制定缓解它们的策略;为员工提供移动应用程序安全和隐私培训;并通过审核过程放置所有软件更新。
其他预防措施包括建立快速审查与安全相关的应用程序更新的过程;向用户和其他利益相关者告知移动应用程序审查过程在应用程序的安全行为方面所做的工作和不提供的内容;并审查移动应用程序测试在其代理商的任务目标,安全姿势和风险承受能力的背景下导致较大系统的一部分。
