我们都知道APP的安全是非常重要的，关系到APP是否能够正常上线，能否长久地运营。APP安全测试可以通过一些工具或方法挖掘出APP的安全漏洞，在上线前或上线的过程中将这些漏洞反馈给研发人员，针对漏洞进行修复和调整。APP安全测试我认为比较重要的有：安全合规、客户端安全和敏感信息安全。

安全合规 

这两年相信大家对“安全合规”越来越熟悉，网信办和各地网安对APP的安全合规管控也越来越严格。在APP上线之前都会进行一些相关的合规检测，这些部门几乎都是通过采购一些第三方的合规检测工具来进行检测。如果我们的APP被检测到有不合规的情况，应用就会面临整改、通报甚至下架的风险。这对整个业务线来说是一个致命的打击。

所以我认为安全合规这一点在APP安全测试方面是首要的一点。我们的测试也要围绕网信办颁布的相关法律法规以及行业规范，从个人信息收集、权限使用场景、隐私政策等多个维度进行安全合规检测。在检测的过程中，我们要结合动态检测和静态检测，以验证我们的应用是否合规。

客户端安全 

客户端是整个应用的核心，是业务线的具体实现。这部分涉及到的点很多，最主要的有：代码方面的安全，路径方面的安全，文件存储方面的安全，以及网络通信交互方面的安全。

敏感信息安全 

应用中有没有对敏感词进行过滤，APP中是否存在一些弱口令、明文数据，敏感文件是不是明文存储等。如果不对这些敏感信息进行处理，那就意味着整个业务线都将暴漏在风险中。

以上是我认为APP安全测试比较重要的几个点，一定要将这几个点关联起来，去做更完整的测试，才能更好地保障应用的安全。

针对安全测试，现在很多第三方厂商都提供了一些漏洞扫描和安全相关的工具，安全测试工程师是否有必要去深入研究，这是一个很值得探讨的问题，在这里我们就不展开了。

后面的文章中我们会针对APP安全测试这几个方面的实践展开介绍，欢迎大家继续关注。