為提昇app使用安全,經濟部工業局今天(8/17)宣布啟動行動應用app安全認證機制,未來將鼓勵國內app通過測試取得認證,以強化行動應用安全。
去年小米手機引發國內行動裝置使用安全的議題,行政院因此規畫擬定我國行動裝置、應用軟體安全檢測規範,NCC負責研擬手機及平板電腦的硬體、預載系統,與軟體的安全規範,去年已對小米等多家手機檢測,經濟部負責擬定行動應用程式的安全規範。
今天經濟部工業局宣布正式啟動國內行動應用app的基本資安規範及檢測機制,經濟部次長沈榮津表示,考量app產業特性,廠商規模小、家數多、進入門檻低、產品變動快速,採用專家建議,app安全規範不會立法強制執行,而是以自主輔導方式進行,未來再視績效調整。
沈榮津指出,app安全認證機制是為了建立我國app資安檢測產業能量,以及培養國內app開發者的資安防護能力。有鑑於app資安問題已成為全球的焦點,我國搶先其他國家建立機制將能先一步搶占全球app檢測商機,也是國內app產業發展的里程碑。
行政院副院長張善政表示,經濟部完成app基本資安規範及相關檢測基準,著手檢測試辦,未來透過落實檢測可提昇app安全防護能力,降低民眾個資外流的風險。這套自主認證機制未來會先由政府的便民app,如「統一發票」、「公車動態」優先推動,逐漸擴大到政府其他app。未來期盼產業界一起加入推動。檢測規範對app使用者、開發者、檢測產業帶來三贏。
app安全規範分三級
工業局委託資策會擬定這項規範,而資策會則邀請資安專家等產官學人士研擬,參考國外如OWASP等檢測標準,今年7月完成「行動應用app基本資安檢測基準V1.0」及「行動應用app基本資安自主檢測推動制度V1.0」,8月14日已在經濟部通訊產業發展推動小組網站上公告。
App安全規範對象包括通用性行動應用程式,以及非特定領域的行動應用程式,安全規範等級分初級、中級、高級。初級適用無連線之基礎功能app,中級適用於初級、連網、身份登入驗證的app,高級則包含中級、付費服務的app。
初級要求11項規範,包括程式發布、更新,敏感性資料的蒐集、利用、儲存、分享、刪除、防範惡意程式碼與漏洞、函式庫引用安全等等。中級規範除了初級的11項外,還有敏感性資料傳輸、使用者身份認證及授權、連線管理機制;高級規範除了需達到中級,還包含付費資源使用、付費資源控管、行動應用程式完整性。
目前已有12款app先通過初級的安全認證,包括華碩WebStorage、台灣大哥大M+ Messenger、博客來、驅動城市、思源Juiker等等。app安全認證機制今天啟用後,從今年10月1日開始到明年9月底,為期一年先由資策會進行試辦,有意願檢測的開發者可向資策會聯繫,未來將交由全國認證基金會(TAF)審核認證、合格的實驗室進行檢測,檢測需支付相關認證審核等費用,但詳細費用金額尚未公佈。
資策會技術長陳明義表示,通過安全認證的app將獲得認證標章,供國內民眾下載app前的參考,未來還會與Google Play、App Store協商將國內認證加入app下載服務平台中。通過認證的app也會持續檢視上架版本是否為獲得認證的版本,是否需要重新取得認證,以維持認證的品質。