软件外包公司如何测试可以帮助恢复用户的信任

 

 

软件外包公司信任如果你以前听说过这个阻止我：用户越来越不安的方式，应用程序收集，存储和分享他们的个人信息。这是一个故事，我们已经讨论了很多在这里多年来的uTest博客（最近，在掌声的博客），但它是一个故事，是不会很快消失的不幸。

 

上周晚些时候，MEF全球董事长安得烈蕾写的关于这个话题的博客VentureBeat的体贴，他说，信任的应用程序是在一个向下的轨迹。在他看来，这一切都与个人信息。

 

在许多方面，经济运行的应用程序的个人信息。它的货币–命脉–的主要原因可以用免费增值模式的成功应用。不认为，这也是为什么信任迅速下降。他写的：

 

什么是交易关系，消费者的信任，因此，对于手机行业，这应该是口号如何移动企业建立和保持客户。 信心不足的人在他们的移动设备，那么他们将使用它的应用程序在它。这对每个人来说都是坏消息。

 

然而，几乎只要应用程序已在市场上，消费者一直在轰炸的新闻在社交媒体平台，提高人们对于隐私的方式应用程序收集和存储和使用个人信息的故事。 作为一个行业，我们还有很长的路要走。

 

他背上从最近的MEF /平均技术研究一些硬数字他的意见，发现：

 

百分之40的消费者认为缺乏信任，因为他们不购买更多的通过他们的移动的原因，目前最重要的障碍。它正变得更糟。2012，百分之35名为信任的障碍比百分之27 2011。

 

其次，百分之37的人缺乏信任，阻止他们使用应用程序一旦他们在他们的手机上安装。第三，百分之65的消费者说他们不满意的一个应用程序共享他们的个人信息。

 

很难用数字那样争吵。那么怎么办呢？而芽的地方少量负担的用户–认为他们应该更加意识到威胁–他地大部分在行业整体营销，开发商，发行商，集成商，高管等等。

 

而我会添加软件测试员。

 

 

正如质量不能被检测到的产品，也不可以信任。它是一个共享的价值对品牌和/或应用程序发布者的部分。就是说，有一些领域中，测试人员可以确保高水平的安全–因此，信任–当前和潜在用户之间的信任。这里有几个特别的地方：

 

权限

 

一个咖啡馆的创建一个移动应用程序是设备功能可供应用程序访问的转换。然而，这是一件棘手的事，导致在一些非传统安全因素。

 

开发商一直在要求权限是自由的，通常要求更多的访问比是绝对必要的应用程序的功能。在2012年初，人们发现应用程序访问地址簿等数据，没有任何理由的特点。这种做法被媒体曝光对用户的部分多公众的不满，导致许多操作系统密切关注权限。

 

当测试一个应用程序，认真考虑哪些特征的应用真正需要访问。应用程序不能访问设备功能（如相机或地址簿）或收集不必要的应用程序的功能的数据。也要注意，当使用外部库。一定要验证来源确保图书馆安全投入不受损的或恶意的。

 

随着BYOD的兴起，企业，以及个人，将密切注意应用程序，收集数据异常，可疑的图书馆或访问权限过大的工作，特别是在关系到联系人或摄像机/录音功能。多余的请求往往会得到您的应用程序或通过官方评论家敏锐眼睛的用户标记。

 

正如上面提到的，一些应用程序收集用户数据用于市场研究的目的。这是不坏的–本身的许多信息收集有助于提高这些应用程序本身或修补漏洞。然而，应用程序应该让用户知道数据被收集并告知他们将如何使用数据。应用程序还应通知用户的权限被授予应用程序。这是通过一些应用程序商店要求甚至法律所要求的一些国家（加利福尼亚，例如）。如果你正在测试一个应用程序，可以提示您授予访问权限的特点和数据采集的初始发射。

 

数据泄露

 

创造一个安全的应用程序是确保数据不可没有正确的权限的一部分。这超越了授权和认证的领域，你可能不会想到的小地方。

 

侧信道数据泄漏出现在OWASP排名前10位的移动风险。这次泄漏发生在数据点轨迹是“在不同的地方，开发商可能没有意识到落后了”。缓存，日志文件和临时文件都是常见的罪魁祸首。当一个应用程序的安全测试，确保敏感信息不在任何这些情况没有被保护。

 

数据泄漏一样糟糕的是存储信息的–像API密钥或专有的逻辑–里面自己的代码。应用程序可以被逆向工程和不应该包含在代码是敏感的东西。

 

加密

 

当然，许多安全问题不在用户部分粗心的行为的结果，而是粗心的行为对软件出版商的角色。不是，没有正确地加密敏感数据。

 

如何安全是创建或应用程序存储数据吗？你应该问你自己这个问题在发射前。

 

即使你认为数据是安全的，最好是加密任何敏感或用户生成的数据–包括用户名，密码，个人信息，购物历史，等–为一个额外的保护层。即使没有泄漏，加密或不加密数据面临多重风险，尤其是当移动通过潜在的易受攻击的移动网络。

 

敏感数据应该由应用程序并与用户密码加密解密。如果你面对的是真正的敏感信息，考虑是否真的需要存储或传输。如果有必要，只考虑存储的部分信息或使用散列数据。这样，如果数据被泄露，造成的伤害会减轻。如果你这样做，如果没有人能破译数据泄漏最好。

 

即使普通的程序数据进行加密，避免无意间泄露用户信息。在一天结束的时候，大多数用户认为应用程序是安全的，任何泄露的信息（即便是比赛成绩是无辜的）会引起网友猜测你公司的完整性。

 

*****

 

在应用程序的用户的信任可能会减少，但这并不意味着它不能恢复。用正确的哲学–和正确的测试过程–用户可以将他们的应用程序再次信任。

 

更多的伟大的安全测试的技巧，一定要看看软件外包公司的安全测试白皮书。