iOS开发中应该注意的几个安全问题

1、Keychain存储方式。
iOS Keychain,即钥匙链,是一个安全可靠的存储方式,常用于存储应用的用户名和登录密码,即使应用被卸载了也不影响。Keychain使用了两个密码来作为加密密钥,一个是锁屏密码,另一个是设备生成的密钥。

2、ATS安全策略。
ATS,即App transport security,iOS9.0以后要求应用必须调用HTTPS进行服务器数据请求。ATS默认是打开的状态,在开发的时候可以关掉。

3、服务或接口授权的密钥,Appkey、API Keys等。
很多应该都会使用第三方的服务,通过RESTFUL等接口访问数据,前提是有该服务授权的密钥,例如Appkey、API Keys等,这些密钥最好做一些混淆或加密,不要明文存储在代码中。

4、第三方集代码、框架。
有时候自己做的再好,但最后还是被猪队友给坑了。应用中使用的第三方的代码、框架,要保持最新的版本,以防出现不可预知的漏洞。有技术实力的当然可以自己检查一下,或者在snyk.io上面看看是否能够检查。

Snyk致力于寻找、修补和监控开源代码中的安全漏洞,避免潜在的安全问题。这个操作很方便,输入开源的GitHub、npm、Docker的仓库地址,就可以检查是否有漏洞。

关于Snyk,参见1024的文章:Snyk帮助开发者使用开源代码并保持安全

登录注册后才能评论。