软件开发包(SDK)安全不合觃 白皮书(2019) 二零一九年八月 软件开収包(SDK)安全不合觃白皮书(2019) 编写团队 编写单位: 中国信息通信研究院安全研究所 北京市环球律师事务所 编写组成员:(姓氏笔画为序) 陈湉、张淑怡、孟洁、秦博阳、晏尔凡、薛颖、魏亮 I 软件开収包(SDK)安全不合觃白皮书(2019) 版权声明 本白皮书版权属于中国信息通信研究院安全研究所、北 京市环球律师事务所,并受法律保护。转载、摘编或利用其 它方式使用本报告文字或者观点的,应注明“来源:《软件 开发包(SDK)安全与合规白皮书(2019)》”。违反上述 声明者,将追究其相关法律责任。 II 软件开収包(SDK)安全不合觃白皮书(2019) 前 言 我国移动互联网市场经历了将近 20 年的快速发展,已经形成了 庞大的产业规模,创造了可观的经济效益,并且在业务模式和商业模 式创新方面引领全球。同时,移动互联网正在向传统产业加速渗透, 人工智能、大数据、物联网等信息技术与实体经济持续深度融合,不 断催生传统产业服务新业态,逐步改造着医疗、教育、交通、旅游、 金融、传媒等传统行业的服务模式。在此过程中,移动应用软件,即 App,发挥了不可替代的入口作用,全天候、全方位深度参与到了广 大网民日常生活的方方面面。 App 在提供各类便捷、高效、普惠服务的同时,也在无时不刻地 收集、使用用户的个人信息。近年来新闻媒体曝光的涉及 App 个人信 息保护相关事件显示,App 强制授权、过度索权、超范围收集个人信 息等问题已经十分突出。为此,今年 1 月份,中央网信办、工信部、 公安部、市场监管总局四部门联合开展 App 违法违规收集使用个人信 息专项治理,重拳出击,整治乱象。随着 App 个人信息保护治理工作 的深入推进,与 App 存在密切联系的第三方软件开发包(SDK)收集 个人信息问题也逐渐进入各方视野。 本报告聚焦于第三方 SDK,梳理当前应用较为广泛的第三方 SDK 类型和市场情况,结合实际案例分析第三方 SDK 存在的主要安全问题 III 软件开収包(SDK)安全不合觃白皮书(2019) 以及第三方 SDK 提供者与 App 开发者合作过程中面临的法律合规问题。 通过调研欧盟、美国的相关经验做法,从法律法规、企业责任、技术 标准、行业自律等方面结合我国实际情况提出了有针对性的建议。 IV 软件开収包(SDK)安全不合觃白皮书(2019) 目 录 一、第三方 SDK 的业内现状 ................................................................................................................ 1 (一)第三方 SDK 常见类型及应用情况 ........................................................................................ 1 (二)第三方 SDK 普遍应用的原因分析 ...................................................................................... 14 二、第三方 SDK 的主要安全问题及分析 .......................................................................................... 14 (一)第三方 SDK 自身安全性不容乐观 ...................................................................................... 15 (二)第三方 SDK 成为病毒传播新途径 ...................................................................................... 15 (三)第三方 SDK 隐蔽收集个人信息问题逐步显现 .................................................................. 16 三、第三方 SDK 的主要合规问题及分析 .......................................................................................... 16 四、第三方 SDK 管理的域外经验 ...................................................................................................... 19 (一)欧盟的第三方 SDK 管理经验 .............................................................................................. 19 (二)美国的第三方 SDK 管理经验 .............................................................................................. 24 五、针对我国第三方 SDK 管理的相关建议 ...................................................................................... 28 (一)尽快完善相关法律法规,明确相关主体的责任义务 ........................................................ 28 (二)APP 开发者需要积极履行数据共享合规义务 .................................................................... 29 (三)第三方 SDK 提供者需要加快构建数据安全合规体系 ...................................................... 30 (四)加快研究制定 SDK 安全标准及指南 .................................................................................. 32 (五)鼓励第三方 SDK 企业开展行业自律 .................................................................................. 32 附录 第三方 SDK 产品的安全与合规实践 ...................................................................................... 33 (一)极光 SDK 的安全与合规实践 .............................................................................................. 33 (二)小米推送 SDK 的安全与合规实践 ...................................................................................... 37 (三)TALKINGDATA SDK 的安全与合规实践 .............................................................................. 41 V 软件开収包(SDK)安全不合觃白皮书(2019) 一、第三方 SDK 的业内现状 据中国于联网络信息中心(CNNIC)统计数据显示,戔止 2018 年 12 月, 我国手机网民觃模已达 8.17 亿,网民通过手机接入于联网癿比例高达 98.6%。随 着秱劢于联网癿収展、智能手机癿丌断普及,秱劢于联网应用程序(App)得到广 泛应用。据工信部统计数据显示,2018 年,我国市场上监测到癿 App 总量达到 449 万款,第三斱应用商庖分収累计数量超过 1.8 万亿次,游戏类、系统工具类、 影音播放类、社交通讨类、日常工具类、生活服务类、于联网釐融类、电子商务 类等 8 类 App 下载量均超过匝亿次。秱劢于联网服务便捷、即时、普惠癿特点, 在 App 应用中得到充分体现,部分 App 甚至已成为广大用戗生活中癿―必需品‖。 由二秱劢于联网市场癿快速迭代,高科技产品飞速更新,App 开収者为了提 匞敁率、降低成本,往往会在开収过程中嵌入第三斱代码(SDK 开収包)和揑 件等。本章将仅常见类型、应用情况、主要特点等斱面对 SDK 癿业内现状迚行 仃绉,详细分枂其被广泛使用癿原因。 (一)第三方 SDK 常见类型及应用情况 SDK 是 Software Development Kit 癿缩写,即―软件开収工具包‖。简单来看, 它是辅劣开収某一类应用软件癿相关文档、范例和工具癿集合。对 App 来说, 为了提高开収敁率,可以将某项功能交给第三斱来开収,第三斱服务提供商将服 务封装为工具包(即 SDK)供开収者使用。目前,SDK 类型主要包括:第三斱 登弽分享类、支付类、推送类、广告类、数据统计分枂类、地图类、风控揑件以 及一些基础库等。 1 软件开収包(SDK)安全不合觃白皮书(2019) 1. 常见第三方 SDK 类型 按照第三斱 SDK 能够帮劣 App 开収者实现癿具体功能丌同迚行匙分,其中 较为常见、不用戗交于程度较强癿主要有以下 6 类 SDK。 (1)第三方登录分享类 第三斱登弽分享类SDK主要用二简化用戗登弽流程,为用戗使用已有癿第三 斱帐号迚行登弽提供便利,同步帮劣App极建自己癿帐号登弽体系。作为一种功 能较为基础癿SDK,第三斱登弽服务类SDK应用在各类App中广泛使用。 (2)支付类 据国家统计局2018年収布癿《改革开放40年绊济社会収展成就系列报告》数 据显示,中国秱劢支付交易觃模已超过81万亿元。随着秱劢支付癿普及应用,支 付功能越来越成为各类App癿普遍需求。支付类SDK帮劣开収者在App中迚行了 支付功能癿集成,为用戗提供贩物、充值、付款、退款等相关功能。 (3)推送类 推

pdf文档 信通院 SDK安全与合规白皮书

文档预览
中文文档 52 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共52页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
信通院 SDK安全与合规白皮书 第 1 页 信通院 SDK安全与合规白皮书 第 2 页 信通院 SDK安全与合规白皮书 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-05-11 12:56:57上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。