TC260-PG-20205A 网络安全标准实践指南 —移动互联网应用程序（App）使用软件开 发工具包（SDK）安全指引 （v1.0-202011） m o c . 5 b u h t i g 全国信息安全标准化技术委员会秘书处 2020 年 11 月 本文档可从以下网址获得： www.tc260.org.cn/ 前 言 《网络安全标准实践指南》（以下简称《实践指南》） 是全国信息安全标准化技术委员会（以下简称“信安标委”） 秘书处组织制定和发布的标准相关技术文件，旨在围绕网络 安全法律法规政策、标准、网络安全热点和事件等主题，宣 传网络安全相关标准及知识，提供标准化实践指引。 b u m o c . 5 h t i g I 声 明 本《实践指南》版权属于信安标委秘书处，未经秘书 处书面授权，不得以任何方式抄袭、翻译《实践指南》的 任何部分。凡转载或引用本《实践指南》的观点、数据， 请注明“来源：全国信息安全标准化技术委员会秘书处”。 m o c . 5 b u 技术支持单位 h t i g 本《实践指南》得到中国电子技术标准化研究院、深圳 市腾讯计算机系统有限公司、三六零科技集团有限公司、北 京百度网讯科技有限公司、小米科技有限责任公司、阿里巴 巴（北京）软件服务有限公司、浙江蚂蚁小微金融服务集团 股份有限公司、北京小桔科技有限公司、中国移动通信集团 有限公司、每日互动股份有限公司、华为技术有限公司、北 京字节跳动科技有限公司、京东数字科技控股有限公司、北 京三快科技有限公司、友盟同欣（北京）科技有限公司、上 海钧正网络科技有限公司、北京京东尚科信息技术有限公 司、高德软件有限公司、OPPO 广东移动通信有限公司等单 位的技术支持。 II 摘 要 当前，软件开发工具包（SDK）被广泛应用于各类移动 互联网应用程序（App）的开发中，为提升App兼容性和灵活 性、节约开发成本带来了便利，但由SDK带来的安全风险也 引起多方关注。2018年“寄生推”推送SDK通过云端控制的 方式对目标用户下发包含恶意功能的代码包，殃及300多款 应用，潜在可影响近2000万用户。2020年央视“3.15”晚会 m o c . 5 曝光了SDK违法违规收集用户个人信息的问题，在社会上引 起了强烈反响。 本实践指南依据法律法规和政策标准要求，针对当前 b u App使用SDK过程中可能面临的SDK安全漏洞、恶意行为、 h t i g 违法违规收集使用个人信息等问题，参考当前SDK安全最佳 实践，给出了App使用SDK的安全实践指引，旨在减少因SDK 造成的App安全与个人信息保护问题。 III 目 录 1 适用范围......................................................................................................................................... 1 2 术语定义......................................................................................................................................... 1 3 概述................................................................................................................................................. 2 3.1 App 使用 SDK 的相关方和责任........................................................................................2 3.2 常见 SDK 类型...................................................................................................................3 4 常见安全问题................................................................................................................................. 4 4.1 SDK 自身安全漏洞.............................................................................................................5 4.2 SDK 恶意行为.....................................................................................................................7 4.3 SDK 收集使用个人信息问题............................................................................................ 8 5 基本原则和安全措施.....................................................................................................................9 5.1 App 使用 SDK 安全原则....................................................................................................9 5.2 App 提供者安全措施........................................................................................................11 5.3 SDK 提供者安全措施.......................................................................................................13 b u m o c . 5 h t i g IV 1 适用范围 本实践指南给出了 App 使用 SDK 的相关方责任和常见安全问 题，并针对常见问题给出了 App 提供者和 SDK 提供者的安全原则和 安全措施。 本实践指南适用于 App 提供者使用 SDK 时防范 SDK 安全和合 规风险， 也适用于 SDK 提供者保障 SDK 安全和用户个人信息时参考。 m o c . 5 2 术语定义 2.1 移动互联网应用程序 通过预装、下载等方式获取并运行在移动智能终端上、向用户提 b u 供服务的应用软件，简称 App。 h t i g 2.2 移动互联网应用程序提供者 移动互联网应用程序的开发者、运营者或所有者，简称 App 提 供者。 2.3 软件开发工具包 协助软件开发的相关二进制文件、文档、范例和工具的集合，简 称 SDK。本指南中的 SDK，是指对实现 App 特定功能的代码进行封 装，向外提供简捷的调用接口的二进制文件。 2.4 软件开发工具包提供者 软件开发工具包的开发者、运营者或所有者，简称 SDK 提供者。 2.5 热更新 1 在不重新下载和安装 App 的情况下，通过动态加载的方式更新 App 中的代码或资源文件，实现 App 功能的更新。 3 概述 3.1 App 使用 SDK 的相关方和责任 App使用SDK通常涉及App用户、App提供者1和SDK提供者2三方 角色，如图1所示。SDK提供者将实现特定功能的代码进行封装，并 m o c . 5 提供简单的调用接口。App提供者将SDK嵌入App代码中，调用SDK 提供的接口实现相应的功能，如果某些SDK具有独立交互界面，App 交互页面也会将其嵌入。用户通过App交互界面使用SDK功能时，通 b u 常对SDK提供者没有感知，但如果通过页面跳转等方式访问SDK提供 者的独立交互页面时，可能感知到SDK提供者。SDK这种方式使得 h t i g App提供者不必关心所需功能的具体代码实现便能使用相关功能，提 高了App开发和运营的效率。 App提供者 App交互界 面 App方法调用 SDK接口 交互 交互 App用户 合作 嵌入 某些 SDK 独立 交互 界面 SDK程序 （封装广 告、推送、 统计、定 位、支付、 风控等功 能） App主程序 App 图 1 SDK使用示意图 1 2 也存在 App 提供者和 SDK 提供者同为一方的情况，即 App 提供者使用自身开发的 SDK。 如果 App 提供者和 SDK 提供者不是同一方，通常将 SDK 称为第三方 SDK。 2 SDK提供 者 从App个人信息安全的角度来看，原则上App提供者是App个人信 息控制者及保护用户个人信息安全的首要责任人，SDK提供者按照 App使用SDK的不同方式承担相应的个人信息安全责任。具体而言： a）当App嵌入开源SDK，或App提供方与SDK提供方是同一方时， 由App提供方承担保护个人信息安全责任； b）当App提供者委托SDK提供者处理个人信息，或SDK提供者按 照App提供者的指导或要求，代表App提供者处理个人信息的， m o c . 5 App提供者承担个人信息安全责任、SDK提供者需配合App提 供者履行相关责任； c）如果App提供者和SDK提供者均是以单独身份向App用户提供 b u 服务，且均自行决定处理数据的目的与方式时，SDK提供者承 h t i g 担个人信息控制者责任，App提供者承担个人信息控制者和接 入第三方管理的责任。 d）如果App提供者和SDK提供者共同决定数据的处理目的与方 式时，App提供者和SDK提供者是个人信息共同控制者，需通 过合同等形式约定各自承担的责任。如存在侵害个人信息权 益，应承担连带责任。 3.2 常见 SDK 类型 当前，SDK被广泛应用于各类App开发