本月初，安全研究員IvanRodriguez提出了iOS應(yīng)用程序的新安全標(biāo)準(zhǔn)，并將其命名為Security.plist。它的靈感，來自于已經(jīng)非常流行的Security.txt標(biāo)準(zhǔn)。其想法是，應(yīng)用程序制造商需要?jiǎng)?chuàng)建一個(gè)名為security.plist的屬性列表文件，并將之嵌入到iOS應(yīng)用程序的根目錄中。該文件將包含所有基本的信息，以便向開發(fā)者匯報(bào)安全漏洞。

（題圖viaZDNet）

Rodriguez表示，Security.plist的想法，其實(shí)來自于Security.txt。作為網(wǎng)站上的一個(gè)類似標(biāo)準(zhǔn)，其最早在2017年被提出。

Security.txt目前正在互聯(lián)網(wǎng)工程任務(wù)組（IETF）的帶動(dòng)下展開標(biāo)準(zhǔn)化制定工作，但已經(jīng)被業(yè)界廣泛采用，并且得到了谷歌、Github、LinkedIn和Facebook等科技巨頭的支持。

分析網(wǎng)站安全的研究人員，能夠通過一種輕松的方式，與站方取得聯(lián)系。

實(shí)際上，Rodriguez本身就是一位利用業(yè)余時(shí)間來查找iOS應(yīng)用程序漏洞的研究人員。之所以決定向iOSApp開發(fā)者提出類似的倡議，與它此前的經(jīng)歷有很大關(guān)系。

我大部分時(shí)間，都是在App中閑逛，從而發(fā)現(xiàn)了許多漏洞。但迄今為止，我還沒有找到一種可以輕松找到相關(guān)責(zé)任人和正確披露渠道的簡(jiǎn)便方法。

通常情況下，我必須撰寫一封郵件，發(fā)送到類似info@company.com企業(yè)郵箱，或在官網(wǎng)聯(lián)系頁面填寫表格。

遺憾的是，這些渠道中的大多數(shù)，都是與不專業(yè)的商務(wù)或營銷人員對(duì)接。他們可能不知道如何應(yīng)對(duì)，甚至不明白問題的嚴(yán)重程度。

為了解決這個(gè)痛點(diǎn)，Rodriguez提議，大家不妨在應(yīng)用程序根目錄中留下一份plish文檔，并在其中備注適當(dāng)?shù)穆?lián)系方式，以便輕松溝通和高效率地解決問題。

不過目前，他也只是提出了這個(gè)想法，并且希望聽取應(yīng)用開發(fā)商的意見，而不是敦促蘋果立即下達(dá)死命令。

Rodriguez向ZDNet表示：“目前我已經(jīng)聽取了大量的反饋，可能許多人都與我有共鳴。盡管現(xiàn)在實(shí)施security.plist標(biāo)準(zhǔn)可能為時(shí)尚早，但我還是希望它在移動(dòng)應(yīng)用程序的部署上流行開來”。

鑒于蘋果在安全實(shí)踐方面一直做得很不錯(cuò)，Rodriguez沒有立即讓蘋果推廣security.plist的強(qiáng)制標(biāo)準(zhǔn)，畢竟實(shí)際執(zhí)行起來也是一個(gè)麻煩。

不過為了促進(jìn)發(fā)展，他還是專門為security.plist打造了一個(gè)網(wǎng)站。應(yīng)用程序開發(fā)商可在其中創(chuàng)建一個(gè)基本文件，然后將之包含在自己的App中。