[[{"content_id":424383,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"ارزیابی امنیتی برنامه های کاربردی تلفن همراه","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"ارزیابی امنیتی برنامه های کاربردی تلفن همراه\r\n\r\nروش های تست\r\n\r\nروش های تست مختلفی می تواند برای ارزیابی برنامه های کاربردی مورد استفاده قرار گیرد. از طریق این فرآیند ارزیابی برنامه ها، سازمان ها می توانند تصمیم بگیرند که آیا این برنامه ها می توانند الزامات امنیتی سازمان را برآورده کنند یا نمی توانند.\r\n\r\nدر هنگام فرآیند تست و ارزیابی تمامی لایه ها از جمله کلاینت، کد و واسط کاربری باید مورد ارزیابی قرار گیرد و تمامی لایه ها می تواند به طور بالقوه تحت تاثیر آسیب پذیری امنیتی قرار  داشته باشند.\r\n\r\nروش های تست از جمله تست ایستای امنیت برنامه (SAST) و تست پویای امنیت برنامه (DAST) برای تست برنامه های کاربردی تلفن همراه مناسب هستند. روش های تست رفتاری و تجزیه و تحلیل اجرای برنامه نیز برای برنامه های کاربردی تلفن همراه استفاده می شوند و می توانند اطلاعات ارزشمندی را در اختیار سازمان ها قرار دهند.\r\n\r\nبرای فرآیند ارزیابی برنامه ها باید از چندین روش تست بهره برد زیرا هر روش تست ممکن است تمامی جنبه ها را در نظر نگیرد و تنها یک الزام خاص را مورد بررسی قرار دهد. برای داشتن یک ارزیابی موفق و موثر باید در ابزارهای تست به زمان و ملاحظات امنیتی توجه شود.\r\n\r\nروش های تست می تواند شامل موارد زیر باشد:\r\n\r\n·         تست صحت سنجی\r\n\r\n·         تجزیه و تحلیل کد منبع و کد باینری\r\n\r\n·         تجزیه و تحلیل پویا یا ایستا\r\n\r\n·         تست دستی\r\n\r\n·         تست خودکار\r\n\r\n\r\n\r\n\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tروش تست\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tعملکرد\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tزمان استفاده از تست\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tمزایا و معایب تست\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tتست صحت سنجی\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tاجرای برنامه ای برای یافتن خطاها\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- برای قبول کیفیت برنامه\r\n\r\n\t\t\t- برای ارزیابی استقلال برنامه\r\n\r\n\t\t\t- برای تایید عملکرد برنامه\r\n\r\n\t\t\t- برای کشف آسیب پذیری های امنیتی\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tاین نوع تست معمولا خصوصیات یکتای برنامه را مورد ارزیابی قرار می دهد. برای یافتن آسیب پذیری هایی که ممکن است در یک برنامه خاص یافت شود استفاده از برنامه های پیشرفته تر تست نسبت به تست های عمومی که نتایج کلی دارند ارجحیت دارد.\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tتجزیه و تحلیل کد منبع و کد باینری\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- تجزیه و تحلیل کد منبع یا کد باینری با استفاده از روش ها و ابزارهای مختلف.\r\n\r\n\t\t\t- باز بینی فایل های کد به صورت دستی\r\n\r\n\t\t\t- استفاده از ابزارهای خودکار تجزیه و تحلیل ایستا\r\n\r\n\t\t\t- مهارت و دانش پیشرفته در خصوص امنیت برنامه برای استفاده از این نوع تست اهمیت بسزایی دارد.\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- هنگامیکه کد منبع در دسترس است و برای بازبینی کد منبع و یافتن آسیب پذیری های امنیتی موجود در کد منبع.\r\n\r\n\t\t\t- هنگامیکه برنامه منبع باز است.\r\n\r\n\t\t\t- به منظور تجزیه و تحلیل نتایج\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- ابزارهای متعددی می تواند مورد استفاده قرار گیرد.\r\n\r\n\t\t\t \r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tتجزیه و تحلیل ایستا\r\n\r\n\t\t\t \r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- بازرسی کد\r\n\r\n\t\t\t- در صورت عدم دسترسی به کد، اغلب مهندسی معکوس استفاده می شود.\r\n\r\n\t\t\t- تجزیه و تحلیل رفتار برنامه\r\n\r\n\t\t\t \r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- برای در نظر گرفتن تمامی سناریوهای بالقوه که ممکن است هنگام اجرا برنامه به وقوع بپیوندد.\r\n\r\n\t\t\t- برای تجزیه و تحلیل رفتار برنامه و جستجوی هر ضعف قابل سوء استفاده ای\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- تضمین درستی می دهد که برنامه چگونه صرف نظر از ورودی یا محیطی که در آن اجرا می شود رفتار می کند\r\n\r\n\t\t\t- مهندسی معکوس کد می تواند بسته به نوع کد پیچیده باشد\r\n\r\n\t\t\t- مهندسی معکوس بسیار مفید است و به افراد اجازه می دهد تا کد را بازبینی کنند\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tتجزیه و تحلیل پویا\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- تجزیه و تحلیل ورودی\r\n\r\n\t\t\t- در نظر گرفتن موارد استفاده مناسب از طریق ورودی های مختلف و تجزیه و تحلیل رفتار برنامه در مواجه شدن با این ورودی ها\r\n\r\n\t\t\t- استفاده از نمونه ساز یا اجرای برناهه یا هر دو\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tبرای مشاهده کارکرد کدی که اجرا می شود\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- وقت گیر بودن به دلیل سناریوهای ورودی متعدد بالقوه\r\n\r\n\t\t\t- دقت این روش مشکوک است زیرا ضمینی وجود ندارد که تمامی سناریوهای ممکن بررسی شده است و تجزیه و تحلیل کامل کد امکانپذیر نیست.\r\n\r\n\t\t\t- برای کاهش نتیج مثبت کاذب استفاده از نمونه ساز و دستگاه های فیزیکی لازم است\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tتست دستی\r\n\r\n\t\t\t \r\n\t\t\t\r\n\t\t\t\r\n\t\t\tتست برای یافتن آسیب پذیری برنامه ها با ورودی دستی و تجزیه و تحلیل فردی\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tتست دستی برنامه برای یافتن آسیب پذیری ها\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- وقت گیر بودن\r\n\r\n\t\t\t- نیازمند نیروهای بسیار متخصص و ماهر\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tتست خودکار\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- تست برای یافتن آسیب پذیری برنامه\r\n\r\n\t\t\t- استفاده از شبیه ساز یا دسترسی راه دور به دستگاه\r\n\r\n\t\t\t- انواع ابزارها شامل موارد زیر است:\r\n\r\n\t\t\tابزار تست Data-driven\r\n\r\n\t\t\tابزارهای تستinterface-driven کاربر\r\n\r\n\t\t\tابزارهای Fuzzing\r\n\r\n\t\t\tابزارهایFault injection\r\n\r\n\t\t\tابزارهای تست شبکه\r\n\r\n\t\t\tابزارهای تست نفوذ\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tبرای تست برنامه و یافتن آسیب پذیری ها از ابزارهای مختلف خودکار استفاده می شود\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t- دریافت گزارش و ارزیابی خطر\r\n\r\n\t\t\t-\r\n\t\t\t\r\n\t\t\r\n\t\r\n\r\n\r\n\r\n \r\n\r\nپس از انتخاب ابزارهای مناسب ارزیابی و تست برنامه کاربردی و جمع آوری نتایج حاصل از آن باید این نتایج را نگهداری کنید. توصیه می شود تا این نتایج از طریق یک نرم افزار پایگاه داده جامع به اشتراک گذارده شود. بدین ترتیب متخصصان امنیت و سازمان ها می توانند از تلاش های صورت گرفته استفاده کنند و در زمان و هزینه صرفه جویی شود.\r\n\r\nگزارش نتایج حاصله و ارزیابی خطر بسیار حیاتی است. نتایج باید مستقیما و به راحتی در اختیار متخصصان ارزیابی قرار گیرد تا بررسی شوند.\r\n\r\nقبول شدن یا رد شدن برنامه کاربردی\r\n\r\nباید رویه ای پیش از ارزیابی برنامه برای مدیریت یک برنامه مورد پذیرش واقع شده یا رد شده تنظیم شود. این مساله باید به عنوان بخشی از رویه های خط مشی سازمان برای امنیت برنامه کاربردی در نظر گرفته شود. این مساله از آن جهت ضرورت دارد تا بتوان قدم بعدی در مواجه با پذیرش برنامه یا رد آن را دانست و بتوان در صورت پذیرش برنامه را نصب و در غیراینصورت آن را از روی سیستم ها حذف نمود.\r\n\r\nبازرس (توصیه می شود تا بیش از یک بازرس نتایج را ارزیابی کند) باید نتایج بدست آمده از گزارش ارزیابی و سطح ریسک استفاد از برنامه را به صورت قطعی بررسی کند  و باید با در نظر گرفتن عملکرد سازمان و الزامات امنیتی آن نتیجه قطعی خود را در خصوص پذیرش یا رد برنامه اعلام کند.\r\n\r\nفرد ارزیاب باید با استفاده و رعایت ملاحظات زیر تصمیم خود را اعلام کند:\r\n\r\n·         در صورت پذیرش برنامه و استفاده از آن باید سطح ریسک برنامه در نظر گرفته شود.\r\n\r\n·         وضع امنیت برنامه\r\n\r\n·         آستانه ریسک سازمان\r\n\r\n·         الزامات ارزیابی سازمان\r\n\r\n·         گزارش ها و ارزیابی ریسک خروجی تست برنامه\r\n\r\n·         نوع داده ای که پردازش می شود\r\n\r\n·         میزان حیاتی بودن برنامه برای سازمان\r\n\r\n·         کسانی که از برنامه استفاده خواهند کرد\r\n\r\n·         محیطی که برنامه قرار است در آن اجرا یا مستقر شود و نوع سخت افزاری که مورد نیاز است.\r\n\r\n·         اسناد برنامه و توافقات سطح سرویس\r\n\r\nدر نهایت این سازمان است که باید با توجه به نتایج بدست آمده برنامه را مورد پذیرش قرار دهد یا آن را رد کند. گروه یا افرادی که در سازمان مسئول ارزیابی برنامه ها هستند باید این توصیه ها را با کسب و کارهای دیگری که ممکن است از این برنامه ها استفاده کنند به اشتراک بگذارد.\r\n\r\nرویه های پیاده سازی یا حذف برنامه بسته به پذیرش یا رد برنامه باید اجرا شده و مورد قبول کل سازمان واقع شود.\r\n\r\n \r\n\r\nمطالب مرتبط:\r\n\r\nارزیابی امنیتی برنامه های کاربردی تلفن همراه (بخش اول) - برنامه ریزی (قسمت 1)\r\n\r\nارزیابی امنیتی برنامه های کاربردی تلفن همراه (بخش اول) - برنامه ریزی (قسمت 2)\r\n\r\nارزیابی امنیتی برنامه های کاربردی تلفن همراه (بخش دوم)- تست برنامه (قسمت 1)\r\n\r\n \r\n\r\nارزیابی امنیتی برنامه های کاربردی تلفن همراه (بخش دوم)- تست برنامه(قسمت 2)\r\n\r\n \r\n\r\n \r\n\r\nمنابع:\r\n\r\nhttp:\/\/www.windowsecurity.com\/articles-tutorials\/Mobile_Device_Security\/assessing-security-mobile-applications-part3.html","content_html":"

ارزیابی امنیتی برنامه های کاربردی تلفن همراه<\/span><\/p>\n\n

روش های تست<\/span><\/strong><\/div>\n\n
روش های تست مختلفی می تواند برای ارزیابی برنامه های کاربردی مورد استفاده قرار گیرد. از طریق این فرآیند ارزیابی برنامه ها، سازمان ها می توانند تصمیم بگیرند که آیا این برنامه ها می توانند الزامات امنیتی سازمان را برآورده کنند یا نمی توانند.<\/span><\/div>\n\n
در هنگام فرآیند تست و ارزیابی تمامی لایه ها از جمله کلاینت، کد و واسط کاربری باید مورد ارزیابی قرار گیرد و تمامی لایه ها می تواند به طور بالقوه تحت تاثیر آسیب پذیری امنیتی قرار  داشته باشند.<\/span><\/div>\n\n
روش های تست از جمله تست ایستای امنیت برنامه <\/span>(SAST)<\/span> و تست پویای امنیت برنامه <\/span>(DAST)<\/span> برای تست برنامه های کاربردی تلفن همراه مناسب هستند. روش های تست رفتاری و تجزیه و تحلیل اجرای برنامه نیز برای برنامه های کاربردی تلفن همراه استفاده می شوند و می توانند اطلاعات ارزشمندی را در اختیار سازمان ها قرار دهند.<\/span><\/div>\n\n
برای فرآیند ارزیابی برنامه ها باید از چندین روش تست بهره برد زیرا هر روش تست ممکن است تمامی جنبه ها را در نظر نگیرد و تنها یک الزام خاص را مورد بررسی قرار دهد. برای داشتن یک ارزیابی موفق و موثر باید در ابزارهای تست به زمان و ملاحظات امنیتی توجه شود.<\/span><\/div>\n\n
روش های تست می تواند شامل موارد زیر باشد:<\/span><\/div>\n\n
·         <\/span><\/span>تست صحت سنجی<\/span><\/div>\n\n
·         <\/span><\/span>تجزیه و تحلیل کد منبع و کد باینری<\/span><\/div>\n\n
·         <\/span><\/span>تجزیه و تحلیل پویا یا ایستا<\/span><\/div>\n\n
·         <\/span><\/span>تست دستی<\/span><\/div>\n\n
·         <\/span><\/span>تست خودکار<\/span><\/div>\n\n
\n
\n\t\t\t
روش تست<\/span><\/strong><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
عملکرد<\/span><\/strong><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
زمان استفاده از تست<\/span><\/strong><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
مزایا و معایب تست<\/span><\/strong><\/div>\n\t\t\t<\/td>\n\t\t<\/tr>
\n\t\t\t
تست صحت سنجی<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
اجرای برنامه ای برای یافتن خطاها<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- برای قبول کیفیت برنامه<\/span><\/div>\n\n\t\t\t
- برای ارزیابی استقلال برنامه<\/span><\/div>\n\n\t\t\t
- برای تایید عملکرد برنامه<\/span><\/div>\n\n\t\t\t
- برای کشف آسیب پذیری های امنیتی<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
این نوع تست معمولا خصوصیات یکتای برنامه را مورد ارزیابی قرار می دهد. برای یافتن آسیب پذیری هایی که ممکن است در یک برنامه خاص یافت شود استفاده از برنامه های پیشرفته تر تست نسبت به تست های عمومی که نتایج کلی دارند ارجحیت دارد.<\/span><\/div>\n\t\t\t<\/td>\n\t\t<\/tr>
\n\t\t\t
تجزیه و تحلیل کد منبع و کد باینری<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- تجزیه و تحلیل کد منبع یا کد باینری با استفاده از روش ها و ابزارهای مختلف.<\/span><\/div>\n\n\t\t\t
- باز بینی فایل های کد به صورت دستی<\/span><\/div>\n\n\t\t\t
- استفاده از ابزارهای خودکار تجزیه و تحلیل ایستا<\/span><\/div>\n\n\t\t\t
- مهارت و دانش پیشرفته در خصوص امنیت برنامه برای استفاده از این نوع تست اهمیت بسزایی دارد.<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- هنگامیکه کد منبع در دسترس است و برای بازبینی کد منبع و یافتن آسیب پذیری های امنیتی موجود در کد منبع.<\/span><\/div>\n\n\t\t\t
- هنگامیکه برنامه منبع باز است.<\/span><\/div>\n\n\t\t\t
- به منظور تجزیه و تحلیل نتایج<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- ابزارهای متعددی می تواند مورد استفاده قرار گیرد.<\/span><\/div>\n\n\t\t\t
 <\/div>\n\t\t\t<\/td>\n\t\t<\/tr>
\n\t\t\t
تجزیه و تحلیل ایستا<\/span><\/div>\n\n\t\t\t
 <\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- بازرسی کد<\/span><\/div>\n\n\t\t\t
- در صورت عدم دسترسی به کد، اغلب مهندسی معکوس استفاده می شود.<\/span><\/div>\n\n\t\t\t
- تجزیه و تحلیل رفتار برنامه<\/span><\/div>\n\n\t\t\t
 <\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- برای در نظر گرفتن تمامی سناریوهای بالقوه که ممکن است هنگام اجرا برنامه به وقوع بپیوندد.<\/span><\/div>\n\n\t\t\t
- برای تجزیه و تحلیل رفتار برنامه و جستجوی هر ضعف قابل سوء استفاده ای<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- تضمین درستی می دهد که برنامه چگونه صرف نظر از ورودی یا محیطی که در آن اجرا می شود رفتار می کند<\/span><\/div>\n\n\t\t\t
- مهندسی معکوس کد می تواند بسته به نوع کد پیچیده باشد<\/span><\/div>\n\n\t\t\t
- مهندسی معکوس بسیار مفید است و به افراد اجازه می دهد تا کد را بازبینی کنند<\/span><\/div>\n\t\t\t<\/td>\n\t\t<\/tr>
\n\t\t\t
تجزیه و تحلیل پویا<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- تجزیه و تحلیل ورودی<\/span><\/div>\n\n\t\t\t
- در نظر گرفتن موارد استفاده مناسب از طریق ورودی های مختلف و تجزیه و تحلیل رفتار برنامه در مواجه شدن با این ورودی ها<\/span><\/div>\n\n\t\t\t
- استفاده از نمونه ساز یا اجرای برناهه یا هر دو<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
برای مشاهده کارکرد کدی که اجرا می شود<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- وقت گیر بودن به دلیل سناریوهای ورودی متعدد بالقوه<\/span><\/div>\n\n\t\t\t
- دقت این روش مشکوک است زیرا ضمینی وجود ندارد که تمامی سناریوهای ممکن بررسی شده است و تجزیه و تحلیل کامل کد امکانپذیر نیست.<\/span><\/div>\n\n\t\t\t
- برای کاهش نتیج مثبت کاذب استفاده از نمونه ساز و دستگاه های فیزیکی لازم است<\/span><\/div>\n\t\t\t<\/td>\n\t\t<\/tr>
\n\t\t\t
تست دستی<\/span><\/div>\n\n\t\t\t
 <\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
تست برای یافتن آسیب پذیری برنامه ها با ورودی دستی و تجزیه و تحلیل فردی<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
تست دستی برنامه برای یافتن آسیب پذیری ها<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- وقت گیر بودن<\/span><\/div>\n\n\t\t\t
- نیازمند نیروهای بسیار متخصص و ماهر<\/span><\/div>\n\t\t\t<\/td>\n\t\t<\/tr>
\n\t\t\t
تست خودکار<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- تست برای یافتن آسیب پذیری برنامه<\/span><\/div>\n\n\t\t\t
- استفاده از شبیه ساز یا دسترسی راه دور به دستگاه<\/span><\/div>\n\n\t\t\t
- انواع ابزارها شامل موارد زیر است:<\/span><\/div>\n\n\t\t\t
ابزار تست <\/span>Data-driven<\/span><\/div>\n\n\t\t\t
ابزارهای تست<\/span>interface-driven<\/span> کاربر<\/span><\/div>\n\n\t\t\t
ابزارهای <\/span>Fuzzing<\/span><\/div>\n\n\t\t\t
ابزارهای<\/span>Fault injection<\/span><\/div>\n\n\t\t\t
ابزارهای تست شبکه<\/span><\/div>\n\n\t\t\t
ابزارهای تست نفوذ<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
برای تست برنامه و یافتن آسیب پذیری ها از ابزارهای مختلف خودکار استفاده می شود<\/span><\/div>\n\t\t\t<\/td>\n\t\t\t
\n\t\t\t
- دریافت گزارش و ارزیابی خطر<\/span><\/div>\n\n\t\t\t
-<\/span><\/div>\n\t\t\t<\/td>\n\t\t<\/tr><\/tbody><\/table><\/div>\n\n
 <\/div>\n\n
پس از انتخاب ابزارهای مناسب ارزیابی و تست برنامه کاربردی و جمع آوری نتایج حاصل از آن باید این نتایج را نگهداری کنید. توصیه می شود تا این نتایج از طریق یک نرم افزار پایگاه داده جامع به اشتراک گذارده شود. بدین ترتیب متخصصان امنیت و سازمان ها می توانند از تلاش های صورت گرفته استفاده کنند و در زمان و هزینه صرفه جویی شود.<\/span><\/div>\n\n
گزارش نتایج حاصله و ارزیابی خطر بسیار حیاتی است. نتایج باید مستقیما و به راحتی در اختیار متخصصان ارزیابی قرار گیرد تا بررسی شوند.<\/span><\/div>\n\n
قبول شدن یا رد شدن برنامه کاربردی<\/span><\/strong><\/div>\n\n
باید رویه ای پیش از ارزیابی برنامه برای مدیریت یک برنامه مورد پذیرش واقع شده یا رد شده تنظیم شود. این مساله باید به عنوان بخشی از رویه های خط مشی سازمان برای امنیت برنامه کاربردی در نظر گرفته شود. این مساله از آن جهت ضرورت دارد تا بتوان قدم بعدی در مواجه با پذیرش برنامه یا رد آن را دانست و بتوان در صورت پذیرش برنامه را نصب و در غیراینصورت آن را از روی سیستم ها حذف نمود.<\/span><\/div>\n\n
بازرس (توصیه می شود تا بیش از یک بازرس نتایج را ارزیابی کند) باید نتایج بدست آمده از گزارش ارزیابی و سطح ریسک استفاد از برنامه را به صورت قطعی بررسی کند  و باید با در نظر گرفتن عملکرد سازمان و الزامات امنیتی آن نتیجه قطعی خود را در خصوص پذیرش یا رد برنامه اعلام کند.<\/span><\/div>\n\n
فرد ارزیاب باید با استفاده و رعایت ملاحظات زیر تصمیم خود را اعلام کند:<\/span><\/div>\n\n
·         <\/span><\/span>در صورت پذیرش برنامه و استفاده از آن باید سطح ریسک برنامه در نظر گرفته شود.<\/span><\/div>\n\n
·         <\/span><\/span>وضع امنیت برنامه<\/span><\/div>\n\n
·         <\/span><\/span>آستانه ریسک سازمان<\/span><\/div>\n\n
·         <\/span><\/span>الزامات ارزیابی سازمان<\/span><\/div>\n\n
·         <\/span><\/span>گزارش ها و ارزیابی ریسک خروجی تست برنامه<\/span><\/div>\n\n
·         <\/span><\/span>نوع داده ای که پردازش می شود<\/span><\/div>\n\n
·         <\/span><\/span>میزان حیاتی بودن برنامه برای سازمان<\/span><\/div>\n\n
·         <\/span><\/span>کسانی که از برنامه استفاده خواهند کرد<\/span><\/div>\n\n
·         <\/span><\/span>محیطی که برنامه قرار است در آن اجرا یا مستقر شود و نوع سخت افزاری که مورد نیاز است.<\/span><\/div>\n\n
·         <\/span><\/span>اسناد برنامه و توافقات سطح سرویس<\/span><\/div>\n\n
در نهایت این سازمان است که باید با توجه به نتایج بدست آمده برنامه را مورد پذیرش قرار دهد یا آن را رد کند. گروه یا افرادی که در سازمان مسئول ارزیابی برنامه ها هستند باید این توصیه ها را با کسب و کارهای دیگری که ممکن است از این برنامه ها استفاده کنند به اشتراک بگذارد.<\/span><\/div>\n\n
رویه های پیاده سازی یا حذف برنامه بسته به پذیرش یا رد برنامه باید اجرا شده و مورد قبول کل سازمان واقع شود.<\/span><\/div>\n\n
 <\/strong><\/div>\n\n
مطالب مرتبط:<\/span><\/strong><\/div>\n\n
ارزیابی امنیتی برنامه های کاربردی تلفن همراه (بخش اول) - برنامه ریزی (قسمت 1)<\/span><\/a><\/div>\n\n
ارزیابی امنیتی برنامه های کاربردی تلفن همراه (بخش اول) - برنامه ریزی (قسمت 2)<\/span><\/a><\/div>\n\n
ارزیابی امنیتی برنامه های کاربردی تلفن همراه (بخش دوم)- تست برنامه (قسمت 1)<\/span><\/a><\/div>\n\n
 <\/div>\n\n
ارزیابی امنیتی برنامه های کاربردی تلفن همراه (بخش دوم)- تست برنامه(قسمت 2)<\/span><\/a><\/div>\n\n
 <\/strong><\/div>\n\n
 <\/strong><\/div>\n\n
منابع:<\/span><\/strong><\/div>\n\n
http:\/\/www.windowsecurity.com\/articles-tutorials\/Mobile_Device_Security\/assessing-security-mobile-applications-part3.html<\/a><\/span><\/div>","content_source":"","content_url":"","content_date_start":"2015-11-16 13:50:04","content_date_event":"2015-11-16 13:50:04","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2015-11-20 01:27:51","content_date_register":"2015-11-16 13:50:39","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15352,"eid":15283,"attach_title":null,"attaches":[{"sizes":{"150":"file\/184\/attach\/197001\/attach.png","300":"file\/184\/attach\/197001\/attach.png","400":"file\/184\/attach\/197001\/attach.png","600":"file\/184\/attach\/197001\/attach.png","900":"file\/184\/attach\/197001\/attach.png","1200":"file\/184\/attach\/197001\/attach.png"}}]}]]