在移动设备和应用程序上运行需要较高水平的安全性。设备本身就非常容易丢失和被盗，而一些包含敏感数据的活动都会使用这些移动设备。此外，建立移动应用程序的组织，甚至是那些拥有有效的企业移动政策的组织都无法完全控制其运行的设备。这一切对移动应用程序的安全性都会产生重大影响。

不要在应用程序上存储密码。Brian Shura是坐落于加利福尼亚州圣何塞的AppSec Consulting有限公司的董事长，他认为自从有了移动应用程序，开发人员就开始探索如何在保护敏感数据和提供更好的使用性两个方面进行平衡。他说，但是有效的移动应用程序安全策略要求你可以进行过度的保护。甚至是键盘和屏幕大小都会对移动设备的可用性产生束缚，每次登陆这些设备上的应用程序时，用户都需要输入密码。Shura说，从一开始，就应该将其设计为不能存储密码的应用程序。当使用桌面应用程序时，用户可以存储密码，来提高今后登陆的速度。但是对于移动应用程序来说，这种做法是不合理的。

在传输中加密数据。Frank Kim是坐落于旧金山的ThinkSec应用程序安全咨询公司的创始人，他认为这一点似乎显而易见。但是，当执行安全审计时，Kim已经看到了他的移动应用程序中并没有这一处理过程。“匆匆交付移动应用程序后，开发人员发现他们犯了与早期Web应用程序开发过程中相同的错误。”

进行源代码评审。Shura说，开放源代码项目和商业制造商手中的源代码扫描器是移动应用程序安全项目中重要的一个组成部分。利用这些工具扫描应用程序可以发现SQL注入和其他具有攻击性的代码，然后提醒工作人员修复代码提升其安全性。Shura说，对于iPhone操作系统而言，你需要扫描Objective-C代码；而对于Android操作系统而言，需要扫描的是Java程序。Shura认为，如果你将应用程序安全性测试外包给其他公司，那么一定要记住，你必须要提供源代码，因此，该外部公司才能解决应用程序安全性这一特定问题。如果你没有那样做，当然安全测试可以照旧进行，但是它包含逆向工程和黑盒测试，也就是所谓的动态测试。

监听移动应用程序和Web服务器之间的流量。Shura说，允许查看网络流量的工具对移动应用程序安全性才有价值。“手动分析流量，并且寻找可以被操纵的方法调用。”

在移动设备上尽量少存储数据。在马里兰州贝塞斯达有一个名叫SANS学院的安全培训机构，Kim同时也是该学院的应用程序安全系的系主任，他说：“想象下，你的移动应用程序处在一个低信誉度的环境中，试问自己：‘那里的应用程序真的需要数据吗？’”他说，通常情况下，你的答案是不需要。

包含敏感的企业数据。Kim说，将敏感的企业数据下载到移动应用独立的存储空间中有助于确保移动应用程序的安全性。他认为，应用程序中企业数据要比其他数据更具敏感性，例如你小孩的照片。