初級檢測項目

行動應用程式應避免資訊安全漏洞. 4.1.5.3.1. ... 一、依「App資安檢測分級小幫手」分級結果，檢視各自App是否符合資安規範。

二、於App委外(開發、維護)案中，要求 ... 您選擇：App無身分鑑別需通過「L1」檢測(22項) 4.1.1.1.2.行動應用程式應於發布時說明欲存取之安全敏感性資料、行動裝置資源及宣告之權限用途 4.1.1.3.1.行動應用程式開發者應提供回報安全性問題之管道 4.1.2.1.1.行動應用程式應於蒐集安全敏感性資料前，取得使用者同意 4.1.2.1.2.行動應用程式應提供使用者拒絕蒐集安全敏感性資料之權利 4.1.2.3.1.行動應用程式應於儲存安全敏感性資料前，取得使用者同意 4.1.2.3.2.行動應用程式應提供使用者拒絕儲存安全敏感性資料之權利 4.1.2.3.4.行動應用程式應避免在關閉及登出後將安全敏感性資料儲存於冗餘檔案或日誌檔案中 4.1.2.3.6.安全敏感性資料應採用適當且有效之金鑰長度與加密演算法，進行加密處理再儲存 4.1.2.3.7.安全敏感性資料應儲存於受作業系統保護之區域，以防止其他應用程式未經授權之存取 4.1.2.3.8.安全敏感性資料應避免出現於行動應用程式之程式碼 4.1.2.4.1.行動應用程式透過網路傳輸安全敏感性資料，應使用適當且有效之金鑰長度與加密演算法進行安全加密。

4.1.2.5.1.行動裝置內之不同行動應用程式間，應於分享安全敏感性資料前，取得使用者同意 4.1.2.5.2.行動應用程式應提供使用者拒絕分享安全敏感性資料之權利 4.1.2.5.3.行動應用程式分享安全敏感性資料時，應避免未授權之行動應用程式存取 4.1.4.2.2.行動應用程式應確認伺服器憑證之有效性 4.1.4.2.3.行動應用程式應確認伺服器憑證為可信任之憑證機構所簽發 4.1.5.1.1.行動應用程式應避免含有惡意程式碼 4.1.5.1.2.行動應用程式應避免資訊安全漏洞 4.1.5.3.1.行動應用程式於引用之函式庫有更新時，應備妥對應之更新版本，更新方式請參酌4.1.1.行動應用程式發布安全 4.1.5.4.1.行動應用程式應針對使用者於輸入階段之字串，進行安全檢查 4.1.5.4.2.行動應用程式應提供相關注入攻擊防護機制 4.2.2.1.2.行動應用程式於Webview呈現功能時，所連線之網域應為安全網域