信安标委发布App使用软件开发工具包（SDK）安全指引

11月27日，全国信息安全标准化技术委员会秘书处发布关于《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》的通知。
当前， 软件开发工具包（SDK） 被广泛应用于各类移动互联网应用程序（App）的开发中，为提升App兼容性和灵活性、节约开发成本带来了便利，但由SDK带来的安全风险也引起多方关注。 2018年“寄生推” 推送SDK通过云端控制的方式对目标用户下发包含恶意功能的代码包， 殃及300多款应用，潜在可影响近2000万用户。2020年央视“3.15” 晚会曝光了SDK违法违规收集用户个人信息的问题，在社会上引起了强烈反响。

该《实践指南》依据法律法规和政策标准要求，给出了SDK常见安全风险，针对当前App使用SDK过程中存在的SDK自身安全漏洞、SDK恶意行为、SDK违法违规收集App用户的个人信息问题，结合当前移动互联网技术及应用现状，给出了App提供者、SDK提供者针对SDK安全问题的实践指引，意在帮助App提供者使用SDK时防范SDK安全和合规风险，帮助SDK提供者保障SDK安全和用户个人信息。

目录

1 适用范围
2 术语定义
3 概述
  3.1 App 使用 SDK 的相关方和责任
  3.2 常见 SDK 类型
4 常见安全问题
  4.1 SDK 自身安全漏洞
  4.2 SDK 恶意行为
  4.3 SDK 收集使用个人信息问题
5 基本原则和安全措施
  5.1 App 使用 SDK 安全原则
  5.2 App 提供者安全措施
  5.3 SDK 提供者安全措施

点击查看《实践指南》全文。