关于应用程序安全合规性的想法（i）：应用程序安全认证的工作流程审查

关于应用程序安全合规性的想法（II）审查监督关键变化

关于应用程序安全与合规性（III）如何在紧急响应应用程序纠正方面做得好的想法

关于应用程序安全与合规性（IV）许可问题的想法

关于应用程序安全和合规性（V）关于隐私合规产品的研究的想法

关于应用程序安全合规性（VI）SDK合规性的想法

0前言

近年来，软件开发工具包（SDK）已被广泛使用，因为它可以简化开发并提高运营效率。但是，由于SDK提供商的安全意识较弱以及市场监督，安全漏洞，恶意行为，非法和不规则收集。安全问题，例如用户个人信息

自2020 315盛会以来，该监督逐渐得到了加强，该晚会破坏了第三方开发的SDK，该SDK非法收集了用户个人信息。尽管监督的重点仍在应用程序开发和应用程序平台上，但在应用程序访问方和主管的压力下，SDK提供商也在积极合作，例如建立SDK合规性区域，增强提示以告知开发人员到完成合规指南，更新合规性SDK等。

1参考

为什么在提到上一篇文章时不将文章的结尾放在其中？因为这很重要。

本文主要是指三个规格。其中有许多详细内容。它不是从以下文章中摘录的，并且是专门说明的。您可以提前下载和学习。

“用于在SDK安全技术移动应用程序（APP）的SDK安全指南上征求意见的草案”

“用于移动互联网应用程序（应用）使用软件开发工具包的安全指南”

“软件开发软件包SDK安全与合规性报告2020”

2 SDK分类

目前，从功能部门中，有共享，付款，推送，统计，广告，地图等，但是同一公司中有许多企业开发人员，不同的制造商选择访问功能类型。可以考虑使用该解决方案来建立SDK管理机制（我相信公司具有供应商管理机制，在下面应用）。

为了促进应用程序开发人员，一些SDK提供商的SDK汇总了具有相同功能的SDK，但不能互相替换，形成新的SDK，例如XX社交共享SDK（，，Qq等），XX Push（ Push，push， push，push， push）华为推送等），x验证（移动，，一键登录等）。

此外，单一类型的聚合SDK-通道 SDK，主要集成了帐户SDK，付款SDK以及数据背景统计信息以及其他功能。但是，如果每个应用都希望转到另一个频道，则需要访问该频道指定的SDK。

3个当前问题

SDK非法收集用户个人信息，请求绝对是基本问题。这里列出的是由于这个基本问题引起的一些联合问题。

SDK提供商缺乏合规专业人员，并且不够控制SDK的合规性；

SDK提供商的合规行动落后，其中许多是由访问方驱动以促进其纠正的驱动的，一些SDK提供商没有足够的协调协调。

SDK提供商披露其SDK合规性的披露还不够详细（华为写得很好，并且一目了然地清楚了权限和个人信息）

SDK访问方的隐私政策存在问题，以披露粒度。 SDK外部SDK是否需要披露；

SDK版本正在迭代中，如何确保连续合规性；

应用具有n个频道，在启动它们之前，您需要输入不同的频道软件包。最后，每个应用程序都将具有N。如何确保每个软件包的合规性；

4解决方案4.1背景

在谈论解决方案之前，让我们以频道游戏包为例：

通过上图，可以清楚地将其分为： SDK（实际上它也是第三方SDK，但是每个频道中的频道SDK都不同），第三方SDK和自我开发的SDK。频道SDK，父包，自开发的SDK和二手通道SDK可以分为频道SDK，父套件，自我开发的SDK和二手频道SDK。三方SDK控制它。

4.2及时更新

实际上，许多SDK提供商现在正在优化其产品以获得更多合规性。 SDK迭代很快。随时保持SDK更新并参考其自定义合规性指南可以解决一些合规性问题。

4.3安全评估

尽管有很多问题，但解决方案始终是相同的 - 进行安全评估，促进提供商的整流和控制公司内部的访问。 “用于移动应用程序（APP）的软件开发套件的安全指南”还列出了其他8个想法，请参阅5.2应用程序提供商安全指标的内容以获取详细信息。

SDK安全评估

来源评估：包括但不限于：SDK提供商的基本信息； SDK提供商的沟通和反馈渠道； SDK隐私政策链接地址；提供商的安全功能； SDK的基本功能； SDK的版本号，等。

代码安全评估：是否有已知的恶意代码；是否存在已知的安全漏洞；是否适用敏感权限；是否嵌入其他SDK，等等。

行为安全评估：敏感的权限，呼叫的目的和频率；收集的个人信息的类型，目的和频率；个人信息将返回到服务器域名，IP地址和区域；热门更新行为以及是否可以主动关闭热门更新；传输数据是否加密；是否有一个接口可以单独收集用户个人信息；在自我启动后背景和相关启动之后，是否有一种收集个人信息的行为，等等。

对集成的SDK或定期安全评估的连续动态监控。

4.3.1来源评估

澄清有关SDK使用的基本信息，包括：SDK名称，版本，公司名称，公司资格，是否签署数据处理协议，隐私政策，合规指南，SDK安全资格，通信和答复速度，是否有任何安全事件等待。

基于此信息，您可以采取一些行动，例如在没有隐私政策的情况下与SDK提供商添加通信，响应速度缓慢（不合作），并试图促进暂停使用业务...

在此步骤中获得的信息也可以用于隐私政策披露。

4.3.2代码安全评估

（我是鸡肉，我无法查看代码，这是一篇合规性文章，所以我会首先忽略）

4.3.3行为安全评估

：响应4.1.1中的源评估，从SDK提供商那里获得权限和个人信息收集的情况。

：测试SDK演示软件包一一，主要关注获得权限的请求和收集个人信息（在同意之前，同意后）。

：比较合规指南是否与实际情况一致，实际情况只能小于正式披露。

通过上述三个评估的评估结果，可以对SDK，合规SDK访问，不合格的SDK纠正或拒绝访问做出初步判断。

4.4隐私政策披露了有关使用第三方SDK的详细信息

通过调查第三方SDK（网站，合规指南，数据处理协议等）的基本情况获得的信息 +测试结果信息是最终需要向公众披露的信息。这里将存在一个披露粒度的问题，该类别仍需要由您自己控制。

“信息安全技术移动应用程序（APP）SDK安全指南”中的附录D提供了示例表格（非常详细），用于披露第三方SDK，包括SDK名称，名称空间，公司名称，SDK使用和收集个人信息。 ，应用程序权限，隐私政策链接。

4.5连续合规

该指南说“对集成的SDK或常规安全评估的连续动态监控”，通常触发安全评估的是SDK版本更改时。当然，它还可以添加方案以根据情况触发安全评估，例如访问方法，年度评估等。

4.6形成管理机制

如果您有额外的人力，则可以在铁很热的同时罢工。就像公司的供应商管理一样，制定了一组SDK管理机制，包括SDK访问，SDK评估，SDK退出和其他流程。

第三方SDK的统一管理具有以下好处：

您可以随时保持服务SDK访问状态。

降低人工成本，例如测试，管理和促进纠正。

它不仅可以在整个公司中共享高质量的SDK，还可以减少支出。

...

5。关于我遇到的SDK的问题都连接到第三方SDK。有些被认为是委托处理，有些被认为共享。如何区分它们？

一些SDK提供商确实很难区分。根据“软件开发软件包SDK安全性和合规性指南”中5.2.1的解释，确定“当第三方SDK可以通过应用程序直接揭示其品牌时，应用程序开发人员更容易使其更轻松为了使他们成为个人信息的数据控制器。 “隐私政策”或SDK的特殊章节。重定向到第三方SDK的官方服务页面，建议直接与用户展示此第三方SDK的隐私政策。

简单地说，如果一个品牌被视为数据共享，并且如果揭露了品牌，则将其视为数据委托处理。例如，如果您使用第三方登录名，则会跳到第三方应用程序，如果使用第三方应用程序，则会跳到第三方应用程序。

5.2该应用程序本身根本无法使用，因为它已经激活了第三方SDK中的功能和权限。我应该怎么办？

实际上，一些第三方SDK可以提供更多合规的版本（不是在线），并且可以与客户服务/业务进行交流；一些第三方SDK演示要求与客户服务/BD通信的必要权限，而不会影响业务方案。可以不申报。

我遇到了这一点，例如YM收到IDFA，但是通过交流，另一方提供了一个未收到的版本。 GD接收准确的地理位置，但业务功能方案是区域排名，粗糙的位置就足够了。联系后，您无法在不声明准确的地理位置权限的情况下声明准确的地理位置权限。

在沟通过程中，大多数SDK规定都是非常合作的。如果您有任何问题，可以通过多个通信解决这些问题〜

最后写

这应该是本系列的最后一篇文章。我不是专业律师。一些语言组织不是那么专业。他们在实践中都是经验丰富的。如果您有任何疑问，您可以一起交流〜