plist(plist文件)

本月初，安全研究員 Ivan Rodriguez 提出了 iOS 應(yīng)用程序的新安全標(biāo)準(zhǔn)，并將其命名為 Security.plist 。它的靈感，來自于已經(jīng)非常流行的 Security.txt 標(biāo)準(zhǔn)。其想法是，應(yīng)用程序制造商需要創(chuàng)建一個名為 curity.plist 的屬性列表文件，并將之嵌入到 iOS 應(yīng)用程序的根目錄中。該文件將包含所有基本的信息，以便向開發(fā)者匯報安全漏洞。

（題圖 via ZDNet）

Rodriguez 表示，Security.plist 的想法，其實來自于 Security.txt 。作為網(wǎng)站上的一個類似標(biāo)準(zhǔn)，其最早在 2017 年被提出。

Security.txt 目前正在互聯(lián)網(wǎng)工程任務(wù)組（IETF）的帶動下展開標(biāo)準(zhǔn)化制定工作，但已經(jīng)被業(yè)界廣泛采用，并且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨頭的支持。

分析網(wǎng)站安全的研究人員，能夠通過一種輕松的方式，與站方取得聯(lián)系。

實際上，Rodriguez 本身就是一位利用業(yè)余時間來查找 iOS 應(yīng)用程序漏洞的研究人員。之所以決定向 iOS App 開發(fā)者提出類似的倡議，與它此前的經(jīng)歷有很大關(guān)系。

我大部分時間，都是在 App 中閑逛，從而發(fā)現(xiàn)了許多漏洞。但迄今為止，我還沒有找到一種可以輕松找到相關(guān)責(zé)任人和正確披露渠道的簡便方法。

通常情況下，我必須撰寫一封郵件，發(fā)送到類似 info@company.com 企業(yè)郵箱，或在官網(wǎng)聯(lián)系頁面填寫表格。

遺憾的是，這些渠道中的大多數(shù)，都是與不專業(yè)的商務(wù)或營銷人員對接。他們可能不知道如何應(yīng)對，甚至不明白問題的嚴(yán)重程度。

為了解決這個痛點，Rodriguez 提議，大家不妨在應(yīng)用程序根目錄中留下一份 plish 文檔，并在其中備注適當(dāng)?shù)穆?lián)系方式，以便輕松溝通和高效率地解決問題。

不過目前，他也只是提出了這個想法，并且希望聽取應(yīng)用開發(fā)商的意見，而不是敦促蘋果立即下達死命令。

Rodriguez 向 ZDNet 表示：“目前我已經(jīng)聽取了大量的反饋，可能許多人都與我有共鳴。盡管現(xiàn)在實施 curity.plist 標(biāo)準(zhǔn)可能為時尚早，但我還是希望它在移動應(yīng)用程序的部署上流行開來”。

鑒于蘋果在安全實踐方面一直做得很不錯，Rodriguez 沒有立即讓蘋果推廣 curity.plist 的強制標(biāo)準(zhǔn)，畢竟實際執(zhí)行起來也是一個麻煩。

不過為了促進發(fā)展，他還是專門為 curity.plist 打造了一個網(wǎng)站。應(yīng)用程序開發(fā)商可在其中創(chuàng)建一個基本文件，然后將之包含在自己的 App 中。