网络安全标准实践指南-移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引
当前, 软件开发工具包(SDK) 被广泛应用于各类移动互联网应用程序(App)的开发中, 为提升App兼容性和灵活性、 节约开发成本带来了便利, 但由SDK带来的安全风险也引起多方关注。 2018年“寄生推” 推送SDK通过云端控制的方式对目标用户下发包含恶意功能的代码包, 殃及300多款应用, 潜在可影响近2000万用户。 2020年央视“3.15” 晚会曝光了SDK违法违规收集用户个人信息的问题, 在社会上引起了强烈反响。
本实践指南依据法律法规和政策标准要求, 针对当前App使用SDK过程中可能面临的SDK安全漏洞、 恶意行为、违法违规收集使用个人信息等问题, 参考当前SDK安全最佳实践, 给出了App使用SDK的安全实践指引, 旨在减少因SDK造成的App安全与个人信息保护问题。
1 适用范围
2 术语定义
3 概述
3.1 App 使用 SDK 的相关方和责任
3.2 常见 SDK 类型
4 常见安全问题
4.1 SDK 自身安全漏洞
4.2 SDK 恶意行为
4.3 SDK 收集使用个人信息问题
5 基本原则和安全措施
5.1 App 使用 SDK 安全原则
5.2 App 提供者安全措施
5.3 SDK 提供者安全措施
推荐下载
相关资料
- 中国人民银行:银行业第三方软件开发工具包(SDK)安全接入指南(JR/T 0231-2021)
- 工业和信息化部关于开展移动互联网应用程序备案工作的通知
- 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)
- 信息安全技术 移动互联网应用程序(App)生命周期安全管理指南(征求意见稿)
- App违法违规收集使用个人信息监测分析报告
- 中国信通院:移动互联网应用程序(APP)个人信息保护治理白皮书
- 中国互联网金融协会:移动金融客户端应用软件备案标志使用办法
- 中国互联网金融协会:关于2021年度移动金融客户端应用软件备案外部评估的通知
- 工信部:移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)
- 金融科技创新应用声明书:基于大数据的APP风险防控产品