□ 文|解伯延 王丹輝 鐘子呈

近年來，伴隨著移動互聯網應用（Application,App）的迅猛發(fā)展，軟件開發(fā)工具包（Software Development Kit,SDK）也逐漸走進大眾視野。根據工信部《2 021年上半年互聯網和相關服務業(yè)運行情況》數據，截至2021年6月底，國內一款App平均集成超過20款SDK。SDK作為軟件開發(fā)中常用的服務調用方式被廣泛應用于App開發(fā)中，為App日益豐富的功能實現提供了便捷方案，降低了開發(fā)成本。然而，隨著移動互聯網安全形勢不斷變化，SDK可能存在的安全風險、惡意行為，以及隱藏在App背后不透明地收集使用個人信息等問題也日漸凸顯，為移動互聯產業(yè)的健康有序發(fā)展帶來了一定影響?！鞍踩l(fā)展、標準先行”，在當前復雜的安全形勢下，研制SDK相關安全標準為SDK行業(yè)安全水平整體提升提供了重要助力。

一、標準研制思路

中國信息通信研究院（以下簡稱中國信通院）牽頭研制的《移動互聯網應用程序SDK安全規(guī)范》（以下簡稱標準）于2021年9月10日在中國互聯網協會正式立項。在標準編制過程中，中國信通院匯聚多方力量，吸收行業(yè)從業(yè)者寶貴經驗，聯合騰訊云計算（北京）有限責任公司、深圳凡泰極客科技有限責任公司、深圳市網安計算機安全檢測技術有限公司、北京騰云天下科技有限公司、深圳市和訊華谷信息技術有限公司、北京貴士信息科技有限公司、每日互動股份有限公司、北京數智鑫源科技有限公司等多家單位，按部就班完成編制工作，并推進至送審階段。

本標準研制過程中充分考慮了SDK產品的技術特性，在App開發(fā)中，SDK常以“功能包”“服務包”的形態(tài)出現，具有泛用性、靈活性、便利性等特點。SDK提供方將原本復雜的服務、功能封裝后，App開發(fā)者只要通過集成SDK的方式，即可如“搭積木”般在App中引入相關服務，在簡化App開發(fā)流程、豐富產品形態(tài)的同時，隱藏了服務實現邏輯，保護服務提供方的商業(yè)秘密?！兑苿踊ヂ摼W應用程序SDK安全規(guī)范》標準聚焦SDK開發(fā)、運維環(huán)節(jié)，通過明確相關環(huán)節(jié)安全要求，力求為SDK開發(fā)者提供有益的思路，減少SDK產品潛在安全風險、漏洞，同時給出各項要求的測評方法，為App開發(fā)者、相關機構強化測評能力、健全技術手段提供指引，幫助相關方發(fā)現并規(guī)避SDK安全風險。

二、標準安全要求簡析

SDK在設計開發(fā)時聚焦于功能的實現，安全風險難以完全避免，需要通過規(guī)范安全開發(fā)、運營流程盡量減少風險。標準將SDK重點安全要求劃分為五大方向，除基礎安全外還包括：

代碼及資源文件安全

當前，大量移動互聯網SDK基于安卓系統(tǒng)及JAVA語言環(huán)境開發(fā)，靈活性較大，且缺少統(tǒng)一的分發(fā)平臺與安全審核機制，針對SDK代碼及資源文件安全編譯、存儲等提出要求，能夠有效降低重要邏輯、業(yè)務實現方法等安全信息泄露的風險，保護企業(yè)及用戶的合法權益。

數據存儲安全

在業(yè)務功能的實現過程中，部分SDK在用戶終端設備上創(chuàng)建本地文件，用于存儲運行所需的數據，約束SDK本地數據存儲安全措施可以有效規(guī)避如重要數據明文存儲、本地數據訪問控制措施不足等問題。

數據交換安全

與服務端的數據交互是多數SDK實現業(yè)務功能的必要手段，但如果重要數據、個人信息過程中以明文方式基于不安全的協議傳輸，可能導致數據泄露，威脅產品安全及用戶權益。對SDK數據傳輸機制進行規(guī)范，可以降低數據在傳輸過程中被截獲、竊取的風險，是提高產品安全水平的重要一環(huán)。

重要組件安全

從技術業(yè)務邏輯上看，SDK產品常作為某類業(yè)務功能、服務的實現手段，為宿主App提供附加功能或服務，故無法避免與宿主App、系統(tǒng)組件、其他應用進行聯調、交互。針對其這一特征，對SDK重要組件、聯調機制、安全配置提出要求，不僅可以降低組件不安全調用引發(fā)安全風險的可能性，而且可以提升SDK開發(fā)集成的便利性，為產品的應用提供助力。

根據上述思路，本標準在第五章內根據SDK實際開發(fā)、運行、維護中面臨的主要安全挑戰(zhàn)提出了三十余項安全要求，覆蓋SDK開發(fā)運維的基本安全機制、數據存儲、數據交互、重要組件、代碼及資源文件等方面，并在第六章中給出了對應的測評方法。標準測評方法在緊扣安全要求的同時，吸納SDK廠商、App廠商、用戶等各方訴求，綜合考慮測評成本及實施難度，給出具體方法介紹的同時提供了明確的結果判定準則，可以有效指導SDK安全測評工作的開展。

三、標準應用持續(xù)推進

2021年，中國信通院安全研究所大數據應用與安全創(chuàng)新實驗室發(fā)起“SDK安全專項行動”，通過長期前瞻研究和實踐探索，以《移動互聯網應用程序SDK安全規(guī)范》標準和實踐經驗為基礎，建立了完整的SDK評測方案和指標體系。

目前，“SDK安全專項行動”已順利完成三期評測工作并已啟動第四期評測，得到業(yè)內積極反饋和廣泛認可，已有近三十款SDK通過檢驗并獲頒證書。與此同時，中國信通院聯合安全企業(yè)、互聯網廠商、評測機構多方力量，持續(xù)推動標準實踐應用，聚焦行業(yè)熱點，構建交流平臺，滿足SDK廠商、App開發(fā)者、最終用戶多方需求，助力“SDK廠商安全高效開發(fā)、App開發(fā)者規(guī)范透明集成、最終用戶安心積極使用”的健康生態(tài)發(fā)展。