IOS编程：Android平台中的平安编程仓酷云

多线程问题还有胶水代码的问题建立一个基于CoreData的工程你会看到他自动创建3个类的对象NSManagedObjectModel管理数据的存储结构文件扩展名是xcdatamodeldNSPersistentStoreCoordinator用来管理底层数据的存储用官方的话说CoreDataisnotarelationaldatabaseorarelationaldatabasemanagementsystem(RDBMS)CERT平安编程团队，从属于卡内基梅隆年夜学软件工程学院，比来公布了Android平台上Java使用的平安编程指南。
CERT在该范畴已有所堆集，而且在2013年公布CERTJava平安编程标准，厥后出书Java编程指南：牢靠平安编程的75条倡议一书，该Android指南是对以上事情功效的拓展和延长。以是，在新版Android编程标准和指南中，一部分是参照已有的Java标准指南，固然也少不了与Android相干，努力于办理挪动相干成绩的新划定规矩。
LoriFlynn是倡议CERTAndroid编程标准和指南的研讨职员之一，据她所说，“其他中央也存在如许的Android平安编程倡议，可是我们发明这些倡议都不完全而且分离在收集的各个角落。”CERT研讨职员接纳以下三种体例制订了新版Android编程标准与指南：

• 发掘CERT已有的平安编程标准；
  
• 研讨已有毛病数据库，包含河山平安部的国度毛病数据库等；
  
• 研讨今朝与平安相干的文献，好比，研讨论文、在线文章和平安集会演讲等。
  

一切标准和指南都能够在CERTWiki上猎取。每笔记录以扼要概述开首，然后形貌此条标准所要办理的平安成绩，而且包含背规代码案例。Wiki中还供应了基于严峻水平的评分、毛病被歹意利用的大概性，和假如在代码中发明毛病，修复毛病的本钱等。
InfoQ接洽了LoriFlynn，并针对CERTAndroid平安编程标准和指南采访了她。Lori今朝在CERT的事情不但包含完美新版平安编程标准，还包含对挪动使用举行组合性静态剖析，反省是不是切合Android平台的数据流划定规矩。她事情履历丰厚，包含收集平安研讨，基于尺度的平安剖析，和互助开辟了一种检测多态程序的新型静态剖析办法，而且获得了专利。Flynn在圣克鲁斯取得了加利福尼亚年夜学的盘算机迷信博士学位，她的研讨偏向是挪动自组收集的平安多播路由协定。
Lori，您能扼要先容一下Android平安编程标准和指南的方针受众有哪些吗？

我们制订的Android平安编程标准和指南今朝次要面向利用Java言语的Android使用开辟职员。可是，我们也在动手制订合用于基于底层（非Java）言语如C和C++所开辟使用的平安标准。我们的方针是匡助开辟职员构建牢靠平安的体系，可是这些标准和指南对完成其他质量特征如牢靠性也年夜有裨益。
一切但愿回护客户体系免受伤害的构造或团体，在其开辟职员遵守划定规矩和指南并产出平安代码后，城市从中受害。金融、卫生和进攻体系都必需当心回护其使用所处置的信息。有些使用处置的数据十分敏感——好比，用户的信誉卡信息、地位、短信、接洽体例和照片。除对用户形成潜伏危险外，非平安代码大概会使处于金融风险中的开辟职员走上法庭，也大概使全部公司得到公家信托（和招致发卖丧失），或招致坚苦场合排场，使给公家形成不平安印象的单使用发卖乏力。
总而言之，晓得Android平安编程标准和指南，不管关于年夜型构造仍是自力使用开辟者城市有所匡助。软件开辟办理者、软件需求方，大概其他软件开辟和需求专家能够将平安编程标准作为克制性需求的参考。教导事情者也能够经由过程该指南教会先生平安开辟Android使用的办法。

据您所知，挪动相干职员在碰着使用平安成绩时面对的次要应战是甚么？在挪动范畴，您是不是晓得某些特定平安相干成绩？

除已知的公认平安编程成绩和标准和指南给出的修复办法外，没法无效把控使用的数据去处也是我们面对的应战之一。信息保守云云众多，Android使用之间的互相影响是次要缘故原由。我们今朝正在研发静态剖析工具，用于检测和打消这些毛病。有了这些工具，用户——包含团体和构造——将更有信念办理部分使用的数据保守成绩。但是，只管我们今朝的事情无效增进了平安剖析的开展，可是仍是没法办理底层代码或反射面对的平安成绩。数据流平安成绩一样十分严峻，以是有很多产业界和学术界的研讨职员在这方面倾泻血汗。
另外一个成绩是可用性。实践上在我们深切剖析数据流时，使用必要给用户展示对应选项，还得让用户（开辟职员用户扫除在外）简单分明这些选项的意义。AdriennePorterFelt（Google）已宣布了多少十分优异的研讨论文，剖析了用户界面平安成绩并给出了修复倡议。她的事情触及面向开辟职员的可用性成绩，好比与权限相干的不得当API，大概招致一般开辟职员的权限过年夜，进而被歹意使用使用。
Android平安还面对另外一个成绩，在Google修复Android表露的平安成绩后，由于各类缘故原由，挪动运营商大概在很长工夫后才将平安更新推送给用户。这就招致在这段工夫内，与使用相干的数据将面对伟大的风险。

遵守Android平安编程标准和指南，对使用有哪些优点？您有无这方面的案例，遵守指南后，使用可以制止之前碰到的平安成绩？

假如我们可以严厉恪守Android平安编程标准和指南，数据和体系会更平安。举个例子吧，DRD00-J克制将敏感数据保留到SD卡中，由于其他使用能够读取SD卡，DRD01-J限定内容供应者中敏感数据的权限等。Skype的Android使用已经呈现过一个毛病，该使用将接洽信息和团体用户信息保留在未加密数据库中，而且没有实行权限把持。假如使用恪守DRD01-J就能够制止该成绩。
为了改良言语的平安近况，SCI（SecureCodingInitiative）倡议了开辟编程言语国际标准的事情。该标准努力于提防代码毛病，并充实使用在研发CERT平安编码标准和分歧性测试中所搜集的信息。

您对使用CERT平安编程标准和指南有哪些倡议办法，工具、流程或其他办法都能够？感乐趣的开辟职员或构造要怎样入手下手呢？

我倡议开辟职员起首通读我们的手艺呈报，挪动源码平安剖析实行室：Java和Android平安编程划定规矩和剖析，然后扫瞄Android平安编程首页。我们盘算创立独自的CERT编程标准，就像其他CERT平安编程标准一样能够经由过程CERT编程标准Wiki主页会见。该首页概述了我们今朝在研发Android平安编程标准方面的事情：剖析（合用性）和扩大已有Java标准；剖析（合用性）和扩大Java指南，固然该指南还在制订过程当中；制订面向Android的平安编程标准，但该标准其实不必定只针对Java言语。检察呈现在首页中的三个主题链接，这是Android平安编程标准制订中的次要课题。
接上去，我倡议开辟职员扫瞄一遍DRD标准和指南，并思索怎样将它们使用到使用编程中。然后，我倡议人人浏览JavaCERTOracle平安编程标准（Addison-WesleyProfessional，2011）中合用于Android的Java标准，包含Wiki，存眷该书相干的主题。这些划定规矩是平安使用必需恪守的，这也是将其放在指南后面的缘故原由。读完划定规矩后，以一样体例浏览Java编程指南：牢靠平安编程的75条倡议（Addison-WesleyProfessional，2013）。固然我们纷歧定可以当即将书中列出的标准和指南使用到事情中，可是这些常识精髓会印进我们的脑海，当开辟使用必要用到这些标准和指南时，我们能够再细心检察。别的我们值得做的是定阅平安编程简报，LinkedIn上的平安编程会商，另有平安编程wiki中的提示，当增添新标准和指南时会当即提示。这些渠道有助于开辟职员实时晓得平安方面的修复程序。

您在Android平安编程标准方面的事情完成了吗？或是您有无假想未来触及其他范畴？

我们在Android平安编程指北方面的事情还在持续。另外一个我们出格想研讨的范畴是剖析CERT平安编程指南在基于C和C++的Android使用中的合用性。我们已有了开端的剖析，可是要查验Android底层编程接口怎样影响已有编程划定规矩的合用性，还要支付更多勉力。同时，我们也会完美使用于反射的开端划定规矩和指南。

你们的团队另有其他相似的项目吗？

我们的CERT平安编程建议（SCI）已为C、C++、Java和Perl制订了平安编程标准，个中一些标准已被像Cisco和Oracle如许的企业在公司局限内接纳。我们勉励开辟职员和其他利用这些言语事情的构造利用我们的平安编程标准，这将会带来诸多优点，就像利用Android平安编程标准和指南一样。
SCI的方针是将毛病的数量下降到某个级别，无效减缓运营情况中的风险使用。该方针经由过程在完成和测试阶段防备编程毛病或检测并扫除平安缺点来告竣。同时，SCI也在延续强大源码剖析实行室（SCALe），撑持依据我们的编程标准对体系举行分歧性测试，包含针对挪动平台（MobileSCALe）的分歧性测试。挪动SCALe今朝专注于Android平台，由于这是我们在制订平安编码标准和指南时所面向的首个挪动平台。我们还企图撑持针对AppleiOS和MicrosoftWindows8的平安编程标准和分歧性测试。

父类是NSObjectUIKit里最底层的库可以响应一些触摸事件设置焦点等功能UIView父类是UIResponder所有View的父类方法太多了大部分很有用这个不赘述了