全民國家安全教育日 |中國互聯網協會在你身邊(標準篇)
2022年04月14日 09:44
近年來,伴隨著移動互聯網應用(Application, App)的迅猛發展,軟件開發工具包(Software Development Kit, SDK)也逐漸走進大眾視野。根據工信部《2021年上半年互聯網和相關服務業運行情況》數據,截至2021年6月底,國內一款App平均集成超過20款SDK。SDK作為軟件開發中常用的服務調用方式被廣泛應用于App開發中,為App日益豐富的功能實現提供了便捷方案,降低了開發成本。然而,隨著移動互聯網安全形勢不斷變化,SDK可能存在的安全風險、惡意行為,以及隱藏在App背后不透明地收集使用個人信息等問題也日漸凸顯,為移動互聯產業的健康有序發展帶來了一定影響。“安全發展、標準先行”,在當前復雜的安全形勢下,研制SDK相關安全標準為SDK行業安全水平整體提升提供了重要助力。
一、標準研制思路
中國信息通信研究院(以下簡稱中國信通院)牽頭研制的《移動互聯網應用程序SDK安全規范》(以下簡稱標準)于2021年9月10日在中國互聯網協會正式立項。在標準編制過程中,中國信通院匯聚多方力量,吸收行業從業者寶貴經驗,聯合騰訊云計算(北京)有限責任公司、深圳凡泰極客科技有限責任公司、深圳市網安計算機安全檢測技術有限公司、北京騰云天下科技有限公司、深圳市和訊華谷信息技術有限公司、北京貴士信息科技有限公司、每日互動股份有限公司、北京數智鑫源科技有限公司等多家單位,按部就班完成編制工作,并推進至送審階段。
本標準研制過程中充分考慮了SDK產品的技術特性,在App開發中,SDK常以“功能包”“服務包”的形態出現,具有泛用性、靈活性、便利性等特點。SDK提供方將原本復雜的服務、功能封裝后,App開發者只要通過集成SDK的方式,即可如“搭積木”般在App中引入相關服務,在簡化App開發流程、豐富產品形態的同時,隱藏了服務實現邏輯,保護服務提供方的商業秘密。《移動互聯網應用程序SDK安全規范》標準聚焦SDK開發、運維環節,通過明確相關環節安全要求,力求為SDK開發者提供有益的思路,減少SDK產品潛在安全風險、漏洞,同時給出各項要求的測評方法,為App開發者、相關機構強化測評能力、健全技術手段提供指引,幫助相關方發現并規避SDK安全風險。
二、標準安全要求簡析
SDK在設計開發時聚焦于功能的實現,安全風險難以完全避免,需要通過規范安全開發、運營流程盡量減少風險。標準將SDK重點安全要求劃分為五大方向,除基礎安全外還包括:
代碼及資源文件安全
當前,大量移動互聯網SDK基于安卓系統及JAVA語言環境開發,靈活性較大,且缺少統一的分發平臺與安全審核機制,針對SDK代碼及資源文件安全編譯、存儲等提出要求,能夠有效降低重要邏輯、業務實現方法等安全信息泄露的風險,保護企業及用戶的合法權益。
數據存儲安全
在業務功能的實現過程中,部分SDK在用戶終端設備上創建本地文件,用于存儲運行所需的數據,約束SDK本地數據存儲安全措施可以有效規避如重要數據明文存儲、本地數據訪問控制措施不足等問題。
數據交換安全
與服務端的數據交互是多數SDK實現業務功能的必要手段,但如果重要數據、個人信息過程中以明文方式基于不安全的協議傳輸,可能導致數據泄露,威脅產品安全及用戶權益。對SDK數據傳輸機制進行規范,可以降低數據在傳輸過程中被截獲、竊取的風險,是提高產品安全水平的重要一環。
重要組件安全
從技術業務邏輯上看,SDK產品常作為某類業務功能、服務的實現手段,為宿主App提供附加功能或服務,故無法避免與宿主App、系統組件、其他應用進行聯調、交互。針對其這一特征,對SDK重要組件、聯調機制、安全配置提出要求,不僅可以降低組件不安全調用引發安全風險的可能性,而且可以提升SDK開發集成的便利性,為產品的應用提供助力。
根據上述思路,本標準在第五章內根據SDK實際開發、運行、維護中面臨的主要安全挑戰提出了三十余項安全要求,覆蓋SDK開發運維的基本安全機制、數據存儲、數據交互、重要組件、代碼及資源文件等方面,并在第六章中給出了對應的測評方法。標準測評方法在緊扣安全要求的同時,吸納SDK廠商、App廠商、用戶等各方訴求,綜合考慮測評成本及實施難度,給出具體方法介紹的同時提供了明確的結果判定準則,可以有效指導SDK安全測評工作的開展。
三、標準應用持續推進
2021年,中國信通院安全研究所大數據應用與安全創新實驗室發起“SDK安全專項行動”,通過長期前瞻研究和實踐探索,以《移動互聯網應用程序SDK安全規范》標準和實踐經驗為基礎,建立了完整的SDK評測方案和指標體系。
目前,“SDK安全專項行動”已順利完成三期評測工作并已啟動第四期評測,得到業內積極反饋和廣泛認可,已有近三十款SDK通過檢驗并獲頒證書。與此同時,中國信通院聯合安全企業、互聯網廠商、評測機構多方力量,持續推動標準實踐應用,聚焦行業熱點,構建交流平臺,滿足SDK廠商、App開發者、最終用戶多方需求,助力“SDK廠商安全高效開發、App開發者規范透明集成、最終用戶安心積極使用”的健康生態發展。