11月27日,全国信息安全标准化技术委员会秘书处发布关于《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》的通知。
当前, 软件开发工具包(SDK) 被广泛应用于各类移动互联网应用程序(App)的开发中,为提升App兼容性和灵活性、节约开发成本带来了便利,但由SDK带来的安全风险也引起多方关注。 2018年“寄生推” 推送SDK通过云端控制的方式对目标用户下发包含恶意功能的代码包, 殃及300多款应用,潜在可影响近2000万用户。2020年央视“3.15” 晚会曝光了SDK违法违规收集用户个人信息的问题,在社会上引起了强烈反响。
该《实践指南》依据法律法规和政策标准要求,给出了SDK常见安全风险,针对当前App使用SDK过程中存在的SDK自身安全漏洞、SDK恶意行为、SDK违法违规收集App用户的个人信息问题,结合当前移动互联网技术及应用现状,给出了App提供者、SDK提供者针对SDK安全问题的实践指引,意在帮助App提供者使用SDK时防范SDK安全和合规风险,帮助SDK提供者保障SDK安全和用户个人信息。
目录
1 适用范围
2 术语定义
3 概述
3.1 App 使用 SDK 的相关方和责任
3.2 常见 SDK 类型
4 常见安全问题
4.1 SDK 自身安全漏洞
4.2 SDK 恶意行为
4.3 SDK 收集使用个人信息问题
5 基本原则和安全措施
5.1 App 使用 SDK 安全原则
5.2 App 提供者安全措施
5.3 SDK 提供者安全措施
点击查看《实践指南》全文。