近年来,伴随着移动互联网应用(Application, App)的迅猛发展,软件开发工具包(Software Development Kit, SDK)被广泛应用于App开发中,“安全发展、标准先行”,《移动互联网应用程序SDK安全技术要求及测试方法》的发布,不仅能为SDK产品安全水平的提升带来有益参考,也为建立健全相关安全测评手段提供了清晰指引。
标准研制思路
标准内容简析
1. 代码及资源文件安全
大量移动互联网SDK基于安卓系统及JAVA语言环境开发,灵活性较大,且缺少统一的分发平台与安全审核机制,针对SDK代码及资源文件安全编译、存储等提出要求,可以降低重要逻辑、业务实现方法等安全信息泄露的风险,提高SDK分发包的安全水平,保护企业及用户的合法权益。
2. 数据存储安全
在业务功能的实现过程中,部分SDK在用户终端设备上创建本地文件,用于存储运行所需的数据,约束SDK本地数据存储安全措施可以有效规避如重要数据明文存储、本地数据访问控制措施不足等问题。
3. 数据交互安全
与服务端的数据交互是多数SDK实现业务功能的必要手段,但如果重要数据、个人信息过程中以明文方式基于不安全的协议传输,可能导致数据泄露,威胁产品安全及用户权益。对SDK数据传输机制进行规范,可以降低数据在传输过程中被截获、窃取的风险,是提高产品安全水平的重要一环。
4. 重要组件安全
从技术业务逻辑上看,SDK产品常作为某类业务功能、服务的实现手段,为宿主App提供附加功能或服务,故无法避免与宿主App、系统组件、其他应用进行联调、交互。针对其这一特征,对SDK重要组件、联调机制、安全配置提出要求,提升SDK开发集成的安全性、便利性,为产品推广提供助力。
根据上述思路,本标准在第五章内根据SDK实际开发、运行、维护中面临的主要安全挑战提出了30余项安全要求,覆盖基本安全机制、数据存储、数据交互、重要组件、代码及资源文件等方面,并在第六章中给出了对应的测评方法。测评方法紧扣安全要求,可以有效指导SDK安全测评工作的开展。
2021年,中国信通院安全研究所大数据应用与安全创新实验室发起“SDK安全专项行动”,以《移动互联网应用程序SDK安全技术要求及测试方法》内容为基础,建立了完整的评测方案和指标体系,得到业内积极反馈和广泛认可,已有50余款SDK产品通过检验并获颁证书。目前中国信通院“SDK安全专项行动”第五期已正式启动,详情可关注下方“大数据应用与安全创新实验室”公众号相关信息。
未来,中国信通院将联合安全企业、互联网厂商、评测机构多方力量,持续推动本标准的落地应用,依托“绿色SDK产业生态共建行动”,开展安全合规指引编制、优秀产品遴选等系列工作,助力“SDK厂商安全高效开发、App开发者规范透明集成、最终用户安心积极使用”的健康产业生态发展。“绿色SDK产业生态共建行动”详情可关注下方“数据安全共同体”公众号相关信息。
校 审 | 陈 力、珊 珊
编 辑 | 凌 霄
推荐阅读
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/te-aq/17812.html