近几年新型信息基础设施建设和移动互联网技术的不断发展，移动APP数量也呈现爆发式增长，进而APP自身的“脆弱性”也日益彰显，这对移动用户的个人信息及财产安全带来巨大威胁和挑战。在此背景下，国家出台了多部法律法规，例如《数据安全法》、《个人信息保护法》、《网络安全法》等，来保障用户的个人权益，而且在今年1月11日的全国工业和信息化工作会议上，提及2023年的工作重点为完善电信业务市场发展政策，强化APP全流程、全链条治理，加强个人信息保护、用户权益保护。进一步增强网络和数据安全保障能力，加快安全产业创新发展。

所以，保护APP的安全性刻不容缓，通过对APP安全评估，降低和规避风险，保障应用正常上线，进而保障用户的信息安全。那么本期就来具体了解一下什么是APP安全评估，以及意义和方法有哪些？

一、什么是APP安全评估

APP安全评估则是一个具有高度针对性的技术评估服务，它的重点在于通过对网络通讯、服务器端、客户端、数据和业务逻辑等多个层面进行细致的梳理、测试和分析，发现APP业务方面面临的违规问题及安全漏洞。

检测对象

APP安全评估服务主要面向主流手机操作系统（包括但不限于：Android，IOS，Windows Phone，Symbian，Java等）上开发的移动应用。评估范围覆盖手机端应用程序及文件，服务器端承载环境及处理逻辑及手机端与服务端的网络通讯，分析应用存在的漏洞风险，共采集应用安全风险，重点关注业务安全。

二、APP安全评估的重要性

APP作为个人信息处理的重要载体，已成为监管重点，如不履行隐私合规义务，将会面临行政处罚与民事责任的双重后果。APP运营者需要主动合规、实质合规，以满足日益严格的监管要求。

相较于被动合规，主动合规能减少合规成本。APP运营者如果没有做好事前合规，可能会因隐私合规问题被监管通报、平台下架，此时的合规成本包括APP下架损失、罚款、用户流失和商誉受损等；如遇到权益保护意识较强的用户，则还会产生民事诉讼相关费用。而主动合规则在规避风险的同时，也能控制合规成本，避免因未能主动合规产生的损失。

三、APP安全评估的方法

APP安全评估从客户端程序，业务交互和承载环境三个方面开展。

客户端程序主要关注移动应用安装程序防反编译/汇编能力及恶意篡改等方面，通过人工结合自动化工具的方式进行评估；

承载环境主要包括移动应用服务端操作系统，数据库，中间件及服务端应用代码。通过漏洞扫描，配置检查和源代码审计测试方法进行全面评估；

业务交互方面采用天磊卫士“基于交互的威胁分析模型”对业务进行交互层面的数据流梳理，分析数据流经各个节点存在的受攻击面，最终导出详细的评估用例并完成评估。

“基于交互的威胁分析模型”是通过将业务功能分解到HTTP的数据交互层面（一对request和response成为一次交互），从数据来源，数据载入，数据传输，数据处理，数据返回及数据的存储和使用角度，详细分析数据在每一个节点存在的受攻击面，最终导出针对性的测试用例的过程。