最新《軟體開發包(SDK)安全與合規報告》發布

2020-09-30 TalkingData

近日,由中國信息通信研究院(以下簡稱「中國信通院」)安全研究所與北京環球律師事務所主辦的「加速推進數據要素市場化背景下——數據安全與治理研討會」主題論壇在深圳舉辦。

論壇上,藍皮報告《軟體開發包(SDK)安全與合規報告(2020)》(以下簡稱「報告」) 正式發布。報告對2019年版進行修訂,補充了中國信通院與北京環球律師事務所在第三方SDK安全與合規問題方面的最新研究成果,為移動網際網路網絡與數據安全、個人信息保護管理要求及規則的制定提供有益參考。作為國內第三方SDK代表廠商,TalkingData參與了本報告的討論與編寫,在開發者協議和隱私政策、標識用戶方法及安全措施、數據存儲安全措施等SDK安全與合規方面的相關實踐,也獲得報告的收錄。

以下為報告節選

完整報告請前往文末下載

報告前言

App在提供各類便捷、高效、普惠服務的同時,也在無時不刻地收集、使用用戶的個人信息,與App存在密切聯繫的第三方軟體開發包(SDK)收集個人信息問題也已經進入各方視野。2019年下半年起至2020年,不論是立法動態還是監管角度,均將SDK違法違規收集個人信息作為審查的重點之一。

在立法和國家標準制定方面,《數據安全管理辦法(徵求意見稿)》《GB/T 35273-2020信息安全技術 個人信息安全規範》《網絡安全標準實踐指南 移動網際網路應用程式(App)中的第三方軟體開發工具包(SDK)安全指引(徵求意見稿)》《信息安全技術 個人信息告知同意指南(徵求意見稿)》等國家標準的研究也開始涉及第三方介入(包括SDK)這一特定領域。

在監管方面,中央網信辦、工業和信息化部、公安部、市場監督總局四部委組建的App專項治理工作組在全國範圍開展較大規模的App的審查與治理行動,從曝光的結果來看,已對App中嵌入的違規SDK廠商,採取了包括但不限於約談企業負責人、網上曝光、App下架等措施。由此可見,2020年,SDK的合規性已經成為監管的重點。

本報告將在2019年版本的基礎上,進一步梳理當前應用較為廣泛的第三方SDK類型和市場情況,結合實際案例分析第三方SDK存在的主要安全問題以及第三方SDK提供者與App開發者合作過程中面臨的法律合規問題。通過調研歐盟、美國的相關經驗做法,從法律法規、企業責任、技術標準、行業自律等方面結合我國實際情況提出了有針對性的建議。

本報告2020年版比照2019年版的主要修訂在於:

  • 更新了2019年至今監管層面、國家標準層面針對SDK的規制;
  • 更新了對App開發者嵌入第三方SDK的合規實踐建議;
  • 更新了第三方SDK自身的合規實踐建議;
  • 更新了第三方SDK產品最新的合規實踐案例。

報告目錄


01,第三方SDK的業內現狀

  1. 第三方SDK常見類型及應用情況
  2. 第三方SDK安全標準化現狀
  3. 第三方SDK普遍應用的原因分析

02,第三方SDK的主要安全問題及分析

  1. 第三方SDK自身安全性不容樂觀
  2. 第三方SDK成為病毒傳播新途徑
  3. 第三方SDK隱蔽收集個人信息問題逐步顯現

03,第三方SDK的主要合規問題及分析

04,第三方SDK管理的域外經驗

  1. 歐盟的第三方SDK管理經驗
  2. 美國的第三方SDK管理經驗

05,針對我國第三方SDK管理的相關建議

  1. 儘快完善相關法律法規,明確相關主體的責任義務
  2. App開發者需要積極履行數據合規義務
  3. 第三方SDK提供者需要加快構建數據安全合規體系
  4. 加快完善SDK安全標準及指南
  5. 鼓勵第三方SDK企業開展行業自律

附屬,第三方SDK產品的安全與合規實踐

  1. 極光SDK的安全與合規實踐
  2. 小米推送SDK的安全與合規實踐
  3. TalkingData SDK的安全與合規實踐

關於TalkingData:TalkingData 成立於2011年,是國內領先的數據服務提供商。TalkingData秉承「數據改變企業決策,數據改善人類生活」的願景,圍繞TalkingData SmartDP數據智能平臺(TalkingData數據中臺)構建「連接、安全、共享」的數據智能應用生態,致力於用數據+科技的能力為合作夥伴創造價值,幫助商業企業和現代社會實現以數據為驅動力的智能化轉型。

↓↓↓下載完整報告,請點擊「擴展連結」

相關焦點

  • TalkingData SDK合規與安全指南
    《TalkingData SDK合規與安全指南》節選查看全文請點擊下方「閱讀原文」為有效治理APP強制授權、過度索權、超範圍收集個人信息等現象,保障個人信息安全,2019年1月,中共中央網絡安全和信息化委員會辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合發布了《關於開展App
  • Qualcomm年度十大SDK盤點:Hexagon SDK
    現在Snapdragon 200、400、800和更高端的型號都已經全面整合了Qualcomm的Hexagon DSP計算單元,能夠幫助軟體開發者優化應用程式的功能和多媒體的性能。而這枚Hexagon SDK是Qualcomm出品的一款軟體開發包,幫助開發者方便的訪問Hexagon DSP的計算資源。
  • 杭州學習軟體開發公司排名_杭州app開發
    App開發,是指專注於手機應用軟體開發與服務。 App是application的縮寫,通常專指手機上的應用軟體,或稱手機客戶端。另外有很多在線app開發平臺。移動網際網路時代是全民的移動網際網路時代,是每個人的時代,也是每個企業的時代。APP便捷了每個人的生活,APP開發讓每個企業都開始了移動信息化進程。
  • Socialize公司發布SDK,為設計手機應用軟體的開發人員解決難題
    今天,該公司宣布公開發行一款軟體開發工具包,不管是新的或者已有的手機應用程式,這款工具包都能夠讓手機應用程式開發人員在其中添加一個內置的社交網絡層。這款DIY的軟體開發工具包是開源的,而且能夠根據開發人員的需要來以不同方式實現。
  • 開發者福利:小i推智慧機器人SDK工具包
    近日,小i推出了智慧機器人SDK工具包,為機器人愛好者和軟體開發者提供了便利。用戶能夠通過自身需求對聊天庫進行選擇,對知識庫進行定製;同時,小i機器人云平臺開發內置了天氣、娛樂、搜索和快遞查詢、笑話等三十多項服務功能,通過簡單設置,在用戶與機器人的交互中即可觸發
  • Android惡意軟體開發的新技術 | 360惡意軟體專題報告
    惡意軟體專題報告》,作者:360烽火實驗室,致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。從惡意軟體開發技術角度看, 2016年惡意軟體利用社會工程學、界面劫持、破解接口、開源項目、簡易開發工具、碎片化代碼、注入系統根進程、篡改系統引導區以及代理反彈技術,成為主要使用的新技術。
  • 重慶銀行科技部招網絡安全架構規劃、軟體開發崗
    (3)從業經驗及資歷:具有10年以上網絡安全工作經驗,具有以下經驗者優先考慮:①具有中、大型網際網路或金融企業信息安全管理規劃工作經驗;②在著名白帽子類網站發表過「嚴重」等級的信息安全漏洞;③在知名SRC(漏洞響應平臺)發布漏洞或文章,且排名靠前;④有國內國際安全會議演講研究成果;⑤有重要CTF安全競賽獲獎記錄。
  • Google Android SDK 2.1正式發布 - OSCHINA - 中文開源技術交流社區
    1月12日,來自Google Android開發團隊博客的消息,之前有報導說無限期推遲發布的Android 2.1原始碼已經發布,可以到這裡了解更多詳情:http://developer.android.com
  • E-iceblue發布雲端Office文檔處理軟體
    -助力企業實現辦公智能化和高效Office文檔開發成都2020年1月9日 /美通社/ -- 近日,成都冰藍科技有限公司(E-iceblue)發布了自主研發的雲端Office文檔處理軟體Spire.Cloud 。
  • Android-support-v4 v7 v8 v13 v17,Android SDK目錄結構
    項目中minsdkversion、compilesdkversion、targetsdkversion的區別!!Android Support v4: 這個包是為了照顧1.6及更高版本而設計的,這個包是使用最廣泛的,eclipse新建工程時,都默認帶有了。
  • 交通銀行招軟體開發、數據開發、應用安全等崗位工程師
    工作地點:上海截止日期:2021-06-30軟體開發工程師職位描述:(1)承擔計算機應用系統的設計、開發、單元測試等工作,編寫和完善技術文檔;(2)參與業務需求分析、架構方案設計、應用系統軟體開發、測試、運行維護、配合業務部門推廣等工作;(3)參與對分行提供應用系統技術培訓
  • 新思科技:企業如何發布符合嚴格標準、高質、安全的軟體
    新思科技公司發布的《2020年開源安全和風險分析》報告(OSSRA)發現經過審計的代碼庫中,75%包含具有已知安全漏洞的開源組件,將近一半(49%)的代碼庫包含高風險漏洞,而且91%的代碼庫包含已經過期四年以上或者近兩年沒有開發活動的組件。OSSRA報告由新思科技網絡安全研究中心(CyRC)製作,研究了由Black Duck審計服務團隊執行的對超過1,250個商業代碼庫的審計結果。
  • |2020 最新軟體開發狀況報告
    該報告統計了活躍在各種主流程式語言上的軟體開發人員數量,數據覆蓋到了全球所有類型的程式設計師。2、為開源軟體做貢獻:在開發人員的世界中,開源軟體無處不在,但並非每個開發人員都是開源人員。該報告探討了哪些開發人員為開源軟體做過貢獻,他們願意做貢獻的原因,以及他們希望從各個公司獲得哪些開源支持。
  • 三六零天御為開發者打造SDK加固服務
    在今年9月舉行的ISC2018網際網路安全大會上,360公司發布了全新面向移動應用(APP)的安全品牌----三六零天御。它是由此前備受開發者青睞的加固工具360加固保升級而來,主要包括安全開發、安全評估、安全加固和安全運營四大產品體系,可以為移動應用提供全生命周期安全服務。
  • Tizen 2.0 Magnolia SDK 以及原始碼發布
    在https://www.tizen.org/blogs/tsg/2013/tizen-2.0-magnolia-sdk-and-source-code-release
  • 中國軟體行業協會最新報告出爐:在這裡,發現2021年的十大趨勢
    中國軟體行業協會最新報告出爐:在這裡,發現2021年的十大趨勢 2020-12-17 18:43
  • Go語言開發環境:Goland安裝
    一、下載安裝開發環境golandgo語言sdk(go的標準庫)安裝sdk的時候,注意安裝的位置,後面要用到,我這裡安裝到了C盤,目錄為: C:\Go二、配置環境GOROOT在goland中配置sdk:software development kit(軟體開發工具包)三、創建工程目錄創建一個工程目錄,我這裡為: C:\goworkstation,這個目錄會作為環境變量GOPATH的值(馬上講到),同時創建下面三個子目錄
  • 新思科技:在遠程辦公環境中不能忽視合規審計培訓
    某些審計活動可能會疏忽了一些漏洞風險,在報告中予以通過;但是對於企業的安全性而言,風險不會因為報告通過而消失。因為您的審計師疏忽了,不代表黑客會看漏,他們可能在一天之後就嘗試利用這個漏洞進行非法活動。有鑑於此,從開發人員到管理人員,對您的團隊進行必要的安全知識和培訓更加重要,這不僅需要通過合規審計,而且需要超過這個標準。
  • RT-Thread 軟體包介紹
    這個道理對於我們程式設計師世界也同樣適用,比如高級的程式設計師和初級程式設計師的差距可以歸納為:開發工具和軟體包的熟練程度上,甚至在於是否會 創造 適用面廣的軟體包(圓輪子)或開發工具。4.1 物聯網相關的軟體包物聯網(IoT) 是 RT-Thread 當前非常重視一個環節,與其相關的軟體包也非常龐大。
  • 「爬蟲」相關罪名分析(下篇)——爬蟲相關商業模式的刑事合規
    舉例來說,代工的工廠通過代工賺錢,律師通過提供法律服務賺錢,金融機構通過資金存貸賺取利差營利,軟體開發公司通過開發軟體賺錢;再如傳銷,其商業模式就是通過收取人頭費賺錢,本身就是一種非法甚至犯罪的商業模式;再如民間借貸,其以出藉資金賺取利息為商業模式,少量的民間借貸暫不為法律所禁止,而以從事民間借貸為業的行為,根據最新的司法解釋,可能構成非法經營罪。