怎么购买移动应用安全?移动app漏洞扫描购买流程指导
由浅入深,带您轻松使用移动app漏洞扫描。了解更多
-
收起
了解详情配置选型 收起
快速购买方式提供了以下几种配置类型的移动应用安全服务版本,您可以根据您的实际应用场景选择适合您的移动应用安全配置类型。
- 基础版
免费使用,基础版主要为用户提供体验机会,仅支持安全漏洞扫描。基础版同样提供在线报告查看功能,查看内容仅限安全漏洞项,不包括隐私合规项。每个用户默认拥有5次基础版额度,扫描失败不扣费。
- 专业版
专业版为付费版本,提供全量功能,包含安全漏洞、隐私合规检测。隐私合规紧跟工信部164号发文,针对违规收集个人信息、超范围收集个人信息、频繁索权、过度索权等通报问题进行检测。用户可在线查看扫描报告,并导出PDF格式离线报告。
-
收起
了解详情Step1 购买移动应用安全漏洞管理服务 收起
- 步骤
① 登录华为云控制台。在控制台页面中选择“安全> 漏洞管理服务”。
② 单击“升级规格”,进入购买页面,选择计费模式、服务版本、购买时长和扫描包数量。
- 说明
漏洞扫描服务提供基础版、专业版、高级版和企业版扫描服务,基础版可免费使用,但是功能和规格受限,专业版、高级版和企业版需付费,具体功能和规格对比参见版本功能规格说明了解详情。
- 收起 了解详情
-
收起
了解详情Step3 创建扫描任务 收起
- 步骤
① 任务添加成功后,在“移动应用安全”页面,单击“添加任务”,在弹出的对话框中,单击“添加文件”选择本地的软件包,导入扫描对象。
② 单击“确定”,开始扫描,请等待45分钟后,任务状态显示“完成”,即可完成扫描。
- 说明
支持上传hap、apk类型的文件。
若用户未购买套餐包添加任务时提示扣费,已购买套餐包的用户即可可以直接创建任务,无需单次扣费。
“是否将本次扫描升级为正式版本规格”默认关闭。如果打开,表示将本次扫描升级为正式版本规格。
-
收起
了解详情Step4 查看扫描结果 收起
- 步骤
① 登录管理控制台。
② 选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。
③ 在左侧导航栏,单击移动应用安全。在“移动应用安全”页面,单击对应任务操作列,进入扫描报告查看页面。
- 说明
单击“文件名”也可以进入扫描报告页面。
移动应用安全测试的常见问题
移动应用安全测试的常见问题
-
移动应用安全测试任务状态显示失败如何处理?
移动应用安全测试任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下:
表1 常见失败原因分析
说明:失败任务不会产生扣费,可重新创建任务进行扫描。 -
移动应用安全扫描的安全漏洞告警如何分析定位?
针对移动应用安全扫描的安全漏洞,如何通过报告提供的信息进行分析、定位、修复?检测结果提供了如下信息:
- 报告提供了问题代码信息,包括文件名及其路径,可以通过该信息快速定位到问题文件。
- 说明:针对部分检测问题,如签名安全检测告警,无具体问题文件显示。
- 漏洞特征信息,主要为安全漏洞所涉及的函数代码。
- 安全漏洞修复建议,结合上述代码信息确定具体告警位置,分析漏洞告警是否确认为安全漏洞。
-
移动应用安全测试的隐私合规问题如何分析定位?
针对移动应用安全测试结果中的隐私合规问题告警,可以通过一下几个信息进行分析定位,并整改处理。
- 截图:在动态运行APP过程中,对部分涉及界面的合规问题进行截图举证,在最终扫描结果中提供截图展示,用户可根据截图进行告警分析。
- 调用栈:涉及收集个人数据类告警,包括第三方SDK收集,扫描结果中会提供代码调用栈信息,帮助应用开发人员快速查找问题点。
- 隐私申明片段:对于应用实际行为与隐私声明不一致的合规问题,扫描结果中会提取相应的隐私审批片段,能快速从应用隐私申明、第三方SDK隐私申明中定位问题点。
- 相应政策规范:该项告警违反的哪些规范条目,在扫描报告中详细列举,用户可以针对性的进行分析整改。
-
移动应用安全测试任务部分检测项有数值,但任务状态显示失败?
如下图显示,移动应用安全测试任务检测结果中安全漏洞检测有告警,隐私合规问题数为0,任务状态为“失败”。
每个任务会进行多个检测项的检查,如基础安全检测、违规收集信息检测、隐私声明一致性检测等,整个检测过程分为应用解析、静态分析、动态运行三个阶段,因为应用自身原因,如闪退、无法解析、无法安装等原因导致其中某个阶段出现异常的时候任务会中止。这时候已经有了一部分检测结果,但为了保证整体任务检测完整性,我们会判定当前任务失败,且报告不可查看,扫描失败的任务不扣费。
-
移动应用安全测试安全漏洞报告中问题文件或者漏洞特征信息为空?
移动应用安全测试安全漏洞扫描结果中,我们会展示相关的问题文件及特征信息,但是在实际报告会发现存在问题文件或者漏洞特征信息为空的情况,如下图所示:
这是因为部分检查项是针对全局性的,不针对某个文件,所以存在问题文件跟漏洞特征信息为空情况,属于正常现象。
-
移动应用安全测试任务扫描超1小时仍然未结束?
根据样本统计,单任务平均扫描耗时约1小时,扫描时长跟以下几个因素有关:
-文件大小,文件越大扫描越耗时。
-代码量,代码量越多扫描越耗时。
-代码复杂程度,因为业务、代码实现的原因导致代码实现相对较复杂,调用链长,这些都会导致扫描耗时增加。
故部分应用扫描时长会高于平均耗时,如超过12小时仍未结束,可能是因为某些异常原因导致任务无法正常结束,我们会判定该类任务未超时,终止任务执行、设置任务状态为“超时”。
-
哪些场景下移动应用安全测试结果可能会存在漏报?
-加固加壳的应用,例如通过爱加密加固。
-使用不支持无障碍服务UI框架开发的应用,例如游戏。
-SDK版本低于18。
-
如何在应用移动应用安全测试过程中输入用户凭证登录应用?
应用在“分析中”状态,如果当前处于隐私合规检测阶段,可单击状态列的“分析中”链接打开详情窗口,应用动态运行界面会投屏至网页端。
当应用出现登录界面时,界面自动停止运行,此时用户可通过本地键盘输入登录凭证,完成登录操作。
-
移动应用安全测试过程中,无法打开详情查看手机实时检测界面怎么解决?
手机检测界面仅在隐私合规检测阶段可查看,其他检测阶段不可见,通常在任务启动5分钟左右会进行隐私合规检测操作,此时才可以查看。
-
移动应用安全测试隐私声明URL地址、个人信息第三方共享目录URL地址如何获取?
打开App时会弹出隐私声明对话框,对话框里包含了隐私声明以及第三方SDK隐私声明的链接,可以单击链接获取详细地址。
