中國互聯網協會《移動互聯網應用程序SDK安全規范》標準研制與應用持續推進

□ 文|解伯延 王丹輝 鐘子呈

近年來，伴隨著移動互聯網應用（Application,App）的迅猛發展，軟件開發工具包（Software Development Kit,SDK）也逐漸走進大眾視野。根據工信部《2 021年上半年互聯網和相關服務業運行情況》數據，截至2021年6月底，國內一款App平均集成超過20款SDK。SDK作為軟件開發中常用的服務調用方式被廣泛應用于App開發中，為App日益豐富的功能實現提供了便捷方案，降低了開發成本。然而，隨著移動互聯網安全形勢不斷變化，SDK可能存在的安全風險、惡意行為，以及隱藏在App背后不透明地收集使用個人信息等問題也日漸凸顯，為移動互聯產業的健康有序發展帶來了一定影響。“安全發展、標準先行”，在當前復雜的安全形勢下，研制SDK相關安全標準為SDK行業安全水平整體提升提供了重要助力。

一、標準研制思路

中國信息通信研究院（以下簡稱中國信通院）牽頭研制的《移動互聯網應用程序SDK安全規范》（以下簡稱標準）于2021年9月10日在中國互聯網協會正式立項。在標準編制過程中，中國信通院匯聚多方力量，吸收行業從業者寶貴經驗，聯合騰訊云計算（北京）有限責任公司、深圳凡泰極客科技有限責任公司、深圳市網安計算機安全檢測技術有限公司、北京騰云天下科技有限公司、深圳市和訊華谷信息技術有限公司、北京貴士信息科技有限公司、每日互動股份有限公司、北京數智鑫源科技有限公司等多家單位，按部就班完成編制工作，并推進至送審階段。

本標準研制過程中充分考慮了SDK產品的技術特性，在App開發中，SDK常以“功能包”“服務包”的形態出現，具有泛用性、靈活性、便利性等特點。SDK提供方將原本復雜的服務、功能封裝后，App開發者只要通過集成SDK的方式，即可如“搭積木”般在App中引入相關服務，在簡化App開發流程、豐富產品形態的同時，隱藏了服務實現邏輯，保護服務提供方的商業秘密。《移動互聯網應用程序SDK安全規范》標準聚焦SDK開發、運維環節，通過明確相關環節安全要求，力求為SDK開發者提供有益的思路，減少SDK產品潛在安全風險、漏洞，同時給出各項要求的測評方法，為App開發者、相關機構強化測評能力、健全技術手段提供指引，幫助相關方發現并規避SDK安全風險。

二、標準安全要求簡析

SDK在設計開發時聚焦于功能的實現，安全風險難以完全避免，需要通過規范安全開發、運營流程盡量減少風險。標準將SDK重點安全要求劃分為五大方向，除基礎安全外還包括：

代碼及資源文件安全

當前，大量移動互聯網SDK基于安卓系統及JAVA語言環境開發，靈活性較大，且缺少統一的分發平臺與安全審核機制，針對SDK代碼及資源文件安全編譯、存儲等提出要求，能夠有效降低重要邏輯、業務實現方法等安全信息泄露的風險，保護企業及用戶的合法權益。

數據存儲安全

在業務功能的實現過程中，部分SDK在用戶終端設備上創建本地文件，用于存儲運行所需的數據，約束SDK本地數據存儲安全措施可以有效規避如重要數據明文存儲、本地數據訪問控制措施不足等問題。

數據交換安全

與服務端的數據交互是多數SDK實現業務功能的必要手段，但如果重要數據、個人信息過程中以明文方式基于不安全的協議傳輸，可能導致數據泄露，威脅產品安全及用戶權益。對SDK數據傳輸機制進行規范，可以降低數據在傳輸過程中被截獲、竊取的風險，是提高產品安全水平的重要一環。

重要組件安全

從技術業務邏輯上看，SDK產品常作為某類業務功能、服務的實現手段，為宿主App提供附加功能或服務，故無法避免與宿主App、系統組件、其他應用進行聯調、交互。針對其這一特征，對SDK重要組件、聯調機制、安全配置提出要求，不僅可以降低組件不安全調用引發安全風險的可能性，而且可以提升SDK開發集成的便利性，為產品的應用提供助力。

根據上述思路，本標準在第五章內根據SDK實際開發、運行、維護中面臨的主要安全挑戰提出了三十余項安全要求，覆蓋SDK開發運維的基本安全機制、數據存儲、數據交互、重要組件、代碼及資源文件等方面，并在第六章中給出了對應的測評方法。標準測評方法在緊扣安全要求的同時，吸納SDK廠商、App廠商、用戶等各方訴求，綜合考慮測評成本及實施難度，給出具體方法介紹的同時提供了明確的結果判定準則，可以有效指導SDK安全測評工作的開展。

三、標準應用持續推進

2021年，中國信通院安全研究所大數據應用與安全創新實驗室發起“SDK安全專項行動”，通過長期前瞻研究和實踐探索，以《移動互聯網應用程序SDK安全規范》標準和實踐經驗為基礎，建立了完整的SDK評測方案和指標體系。

目前，“SDK安全專項行動”已順利完成三期評測工作并已啟動第四期評測，得到業內積極反饋和廣泛認可，已有近三十款SDK通過檢驗并獲頒證書。與此同時，中國信通院聯合安全企業、互聯網廠商、評測機構多方力量，持續推動標準實踐應用，聚焦行業熱點，構建交流平臺，滿足SDK廠商、App開發者、最終用戶多方需求，助力“SDK廠商安全高效開發、App開發者規范透明集成、最終用戶安心積極使用”的健康生態發展。