什麼是應用程式安全性？

應用程式安全性的定義

應用程式安全性是一項流程，會開發安全功能並新增至應用程式內，然後經過測試，以防範未經授權的存取與修改等威脅成為安全性漏洞。

為何應用程式安全性已成為刻不容緩的議題

由於現今的應用程式經常會透過多個網路提供，並連接至雲端，造成抵禦安全性威脅與漏洞的能力為之減弱，因此，應用程式安全性已成為刻不容緩的議題。在網路層級安全性之外，還要顧及應用程式安全性，因此面臨的壓力與日俱增，採取行動的動機也愈來愈強烈。原因之一，是因為駭客會發出比以往更密集的攻擊，以試圖攻破應用程式的防線。應用程式安全性測試有助於凸顯應用程式層級的弱點，協助人員防範這些攻擊行為。

應用程式安全性的類型

舉凡驗證、授權、加密、日誌記錄與應用程式安全性測試，全都是應用程式安全功能的類型之一。除此之外，開發人員還能編寫應用程式碼，以減少安全性漏洞。

軟體開發人員可將驗證與授權程序建置在應用程式內，以確保只有獲得授權的使用者能夠加以存取。驗證程序可確定使用者的真實身分。要做到這一點，使用者必須在登入應用程式之際提供名稱與密碼。多因素驗證機制則要求實施一種以上的驗證程序 — 這些因素可能包括您熟悉的項目 (一組密碼)、您已有的物件 (一個行動裝置)，以及您擁有的特徵 (一組指紋或是臉部辨識影像)。

使用者完成驗證之後，就能獲得存取與使用應用程式的授權。系統會將使用者身分與一份授權使用者清單進行比對，以驗證使用者是否具備存取應用程式的權限。驗證程序必須在授權程序之前進行，以便應用程式將驗證的使用者憑證與授權的使用者清單進行比對，並允許通過驗證者存取。

使用者完成驗證並開始使用應用程式後，其他的安全性措施可以保護敏感資料免於遭到窺視，甚至被網路宵小利用。在雲端式應用程式中，終端使用者與雲端之間經常會出現內含敏感資料的流量，而為了保護這些流量的安全，就必須進行加密。

最後，一旦應用程式出現安全性漏洞，便可透過日誌記錄功能識別存取資料的人員身分與存取方式。應用程式記錄檔會在記錄上加上時間戳記，指出應用程式的哪個部分遭到哪些人存取。為確保這些安全性控管機制正常運作，應用程式安全性測試必不可少。

雲端環境的應用程式安全性

雲端環境的應用程式安全性所帶來的其他挑戰。由於雲端環境可提供共用資源，因此必須小心確保使用者只能在各自的雲端式應用程式中存取有權使用的資料。另外，雲端式應用程式裡的敏感資料也相當脆弱，這是因為使用者必須透過網際網路於使用者與應用程式之間來回傳輸資料之故。

行動應用程式安全性

與私人網路不同的是，行動裝置也必須透過網際網路傳輸及接收資訊，因而容易受到攻擊。企業可以使用虛擬私人網路 (VPN) 為員工增加一層行動應用程式安全性，使其能夠從遠端安全地登入應用程式。此外，IT 部門也有權檢查行動應用程式，確定這些應用程式符合公司安全性原則，才能讓員工放心地在行動裝置上用來連接企業網路。

網路應用程式安全性

網路應用程式安全性適用各種網路應用程式，包括使用者透過瀏覽器介面及網際網路存取的應用程式或服務。由於網路應用程式會駐留在遠端伺服器上 (而非使用者本機上)，因此使用者的所有資訊皆必須透過網際網路來傳輸。對於負責管理網路應用程式或是提供網路服務的企業而言，網路應用程式安全性具有更重要的地位。這些企業通常會選擇使用網路應用程式防火牆，防範其網路遭到入侵。網路應用程式防火牆除了藉由檢查流量來確保安全之外，還會視情況封鎖被視為有害的資料封包。

應用程式安全控管機制有哪些？

應用程式安全控管機制可用來強化應用程式的程式碼安全性，讓這些應用程式更能抵禦各項威脅。這些控制機制當中，有許多都能協助應用程式回應網路宵小用來攻擊弱點的各種出乎預期的輸入行為。程式設計師在撰寫應用程式碼時，可針對這些出乎預期的輸入結果賦予自身更多的掌控權。應用程式安全性測試類型之一為模糊運算，開發人員可利用此方式測試出乎預期的數值或輸入結果，以探查哪些數值或輸入結果會導致應用程式出現非預期的行為，進而開啟安全性漏洞。

什麼是應用程式安全性測試？

應用程式開發人員可在軟體開發流程中執行應用程式安全性測試，確保全新或更新的軟體應用程式版本不會出現任何安全性漏洞。安全性稽核可確保應用程式符合特定的安全性標準集合。當應用程式通過稽核後，開發人員必須確保只有經授權的使用者能夠加以存取。在滲透測試當中，開發人員必須以網路宵小的思維採取行動，並找尋各種入侵應用程式的方法。滲透測試可能包括社交工程，或是嘗試欺騙使用者允許未經授權的存取行為。測試人員一般會同時執行未經驗證的安全性掃描與經驗證的安全性掃描 (以登入使用者身分進行)，以偵測在兩種狀態中皆不容易浮現的各種安全性漏洞。