<dl id="ieuwe"><acronym id="ieuwe"></acronym></dl>
<code id="ieuwe"></code>

  • 
    
  • <bdo id="ieuwe"></bdo>

    網站無障礙 關懷版 無障礙客戶端 @isc.org.cn

    當前位置

    首頁> 新聞動態> 協會動態

    全民國家安全教育日 |中國互聯網協會在你身邊(標準篇)

    2022年04月14日 09:44

    近年來,伴隨著移動互聯網應用(Application, App)的迅猛發展,軟件開發工具包(Software Development Kit, SDK)也逐漸走進大眾視野。根據工信部《2021年上半年互聯網和相關服務業運行情況》數據,截至2021年6月底,國內一款App平均集成超過20款SDK。SDK作為軟件開發中常用的服務調用方式被廣泛應用于App開發中,為App日益豐富的功能實現提供了便捷方案,降低了開發成本。然而,隨著移動互聯網安全形勢不斷變化,SDK可能存在的安全風險、惡意行為,以及隱藏在App背后不透明地收集使用個人信息等問題也日漸凸顯,為移動互聯產業的健康有序發展帶來了一定影響。“安全發展、標準先行”,在當前復雜的安全形勢下,研制SDK相關安全標準為SDK行業安全水平整體提升提供了重要助力。

    一、標準研制思路

    中國信息通信研究院(以下簡稱中國信通院)牽頭研制的《移動互聯網應用程序SDK安全規范》(以下簡稱標準)于2021年9月10日在中國互聯網協會正式立項。在標準編制過程中,中國信通院匯聚多方力量,吸收行業從業者寶貴經驗,聯合騰訊云計算(北京)有限責任公司、深圳凡泰極客科技有限責任公司、深圳市網安計算機安全檢測技術有限公司、北京騰云天下科技有限公司、深圳市和訊華谷信息技術有限公司、北京貴士信息科技有限公司、每日互動股份有限公司、北京數智鑫源科技有限公司等多家單位,按部就班完成編制工作,并推進至送審階段。

    本標準研制過程中充分考慮了SDK產品的技術特性,在App開發中,SDK常以“功能包”“服務包”的形態出現,具有泛用性、靈活性、便利性等特點。SDK提供方將原本復雜的服務、功能封裝后,App開發者只要通過集成SDK的方式,即可如“搭積木”般在App中引入相關服務,在簡化App開發流程、豐富產品形態的同時,隱藏了服務實現邏輯,保護服務提供方的商業秘密。《移動互聯網應用程序SDK安全規范》標準聚焦SDK開發、運維環節,通過明確相關環節安全要求,力求為SDK開發者提供有益的思路,減少SDK產品潛在安全風險、漏洞,同時給出各項要求的測評方法,為App開發者、相關機構強化測評能力、健全技術手段提供指引,幫助相關方發現并規避SDK安全風險。

    二、標準安全要求簡析

    SDK在設計開發時聚焦于功能的實現,安全風險難以完全避免,需要通過規范安全開發、運營流程盡量減少風險。標準將SDK重點安全要求劃分為五大方向,除基礎安全外還包括:

    代碼及資源文件安全

    當前,大量移動互聯網SDK基于安卓系統及JAVA語言環境開發,靈活性較大,且缺少統一的分發平臺與安全審核機制,針對SDK代碼及資源文件安全編譯、存儲等提出要求,能夠有效降低重要邏輯、業務實現方法等安全信息泄露的風險,保護企業及用戶的合法權益。

    數據存儲安全

    在業務功能的實現過程中,部分SDK在用戶終端設備上創建本地文件,用于存儲運行所需的數據,約束SDK本地數據存儲安全措施可以有效規避如重要數據明文存儲、本地數據訪問控制措施不足等問題。

    數據交換安全

    與服務端的數據交互是多數SDK實現業務功能的必要手段,但如果重要數據、個人信息過程中以明文方式基于不安全的協議傳輸,可能導致數據泄露,威脅產品安全及用戶權益。對SDK數據傳輸機制進行規范,可以降低數據在傳輸過程中被截獲、竊取的風險,是提高產品安全水平的重要一環。

    重要組件安全

    從技術業務邏輯上看,SDK產品常作為某類業務功能、服務的實現手段,為宿主App提供附加功能或服務,故無法避免與宿主App、系統組件、其他應用進行聯調、交互。針對其這一特征,對SDK重要組件、聯調機制、安全配置提出要求,不僅可以降低組件不安全調用引發安全風險的可能性,而且可以提升SDK開發集成的便利性,為產品的應用提供助力。

    根據上述思路,本標準在第五章內根據SDK實際開發、運行、維護中面臨的主要安全挑戰提出了三十余項安全要求,覆蓋SDK開發運維的基本安全機制、數據存儲、數據交互、重要組件、代碼及資源文件等方面,并在第六章中給出了對應的測評方法。標準測評方法在緊扣安全要求的同時,吸納SDK廠商、App廠商、用戶等各方訴求,綜合考慮測評成本及實施難度,給出具體方法介紹的同時提供了明確的結果判定準則,可以有效指導SDK安全測評工作的開展。

    三、標準應用持續推進

    2021年,中國信通院安全研究所大數據應用與安全創新實驗室發起“SDK安全專項行動”,通過長期前瞻研究和實踐探索,以《移動互聯網應用程序SDK安全規范》標準和實踐經驗為基礎,建立了完整的SDK評測方案和指標體系。

    目前,“SDK安全專項行動”已順利完成三期評測工作并已啟動第四期評測,得到業內積極反饋和廣泛認可,已有近三十款SDK通過檢驗并獲頒證書。與此同時,中國信通院聯合安全企業、互聯網廠商、評測機構多方力量,持續推動標準實踐應用,聚焦行業熱點,構建交流平臺,滿足SDK廠商、App開發者、最終用戶多方需求,助力“SDK廠商安全高效開發、App開發者規范透明集成、最終用戶安心積極使用”的健康生態發展。

    2011-2019 Copyrights reserved 京ICP備05006316號 版權所有:中國互聯網協會
    技術支持:北京圣明慧力科技有限公司

    国产精品久久久久久久久kt | 无码任你躁久久久久久久| 91精品免费久久久久久久久| 精品无码久久久久久久久久| 久久亚洲精品无码| 国产精品va久久久久久久| 97精品伊人久久大香线蕉app| 久久机热re这里只有精品15| 久久本道综合久久伊人| 久久WWW免费人成人片| ...91久久精品一区二区三区| 久久婷婷五月国产色综合| 久久强奷乱码老熟女| 日本久久久久久久久久| 2021国内久久精品| 久久精品人人做人人妻人人玩| 一级做a爰片久久毛片看看| 国产精品久久毛片完整版| 久久中文骚妇内射| 久久精品道一区二区三区| 中文字幕无码久久人妻| 国产精品一区二区久久精品无码 | 精品人妻伦一二三区久久| 久久久久久99av无码免费网站 | 久久婷婷色综合一区二区| 一级A毛片免费观看久久精品| 一本狠狠久久五月色丁香| 久久无码国产专区精品| 久久久久亚洲精品天堂| 亚洲av成人无码久久精品 | 99久久无色码中文字幕人妻蜜柚| 久久久久国产精品| 婷婷六月久久综合丁香可观看 | 亚洲国产精品久久丫| 99国产精品热久久久久久| 少妇久久久久久久久久| 久久人人爽爽人人爽人人片AV| 久久中文字幕一区二区| 久久精品国产亚洲一区二区| 狠狠狠色丁香婷婷综合久久五月| 国产人久久人人人人爽|