《App使用SDK安全指引》发布，SDK安全需关注

2020-12-07 梆梆观点175

近日，全国信息安全标准化技术委员发布《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》(简称“指引”)，《指引》提出软件开发工具包（SDK）为提升App兼容性和灵活性、节约开发成本带来了便利，但是SDK带来的安全风险也需要重点关注。

《指引》中针对当前App使用SDK过程中可能面临的SDK安全漏洞、恶意行为、违法违规收集使用个人信息等问题，参考当前SDK安全最佳实践，给出了App使用SDK的安全实践指引，帮助开发者减少因SDK造成的App安全与个人信息保护问题。

梆梆安全作为行业领先的应用安全服务商，一直非常关注软件供应链安全并提供完善解决方案。SDK的引入就是软件供应链安全的一个重要节点，对于SDK的安全保障，梆梆安全在多个节点给出安全能力支持。

SDK安全漏洞、恶意行为检测

在《指引》中提出的5大类安全问题，均可以通过应用安全测评平台做自动化的安全检测，同时测评平台可以检测SDK中是否包含恶意代码，做好SDK引入的第一关。

SDK违法违规收集使用个人信息检测

梆梆安全在SDK检测方面通过合规平台为客户提供静态代码扫描及动态安全检测，及时发现在集成环节出现的SDK越权及超范围采集用户隐私数据问题。

发布后APP行为管控

由于Android热更新机制在使用层面不存在好坏之分，部分第三方SDK由于版本更新频繁，或存在一些后门开关，在集成环节并不触发恶意代码的下发，而是在用户安装在手机中之后悄悄进行热更新，在热更新过程中植入恶意代码。

《指引》中也明确提到了SDK热更新的风险。针对应用发布后的SDK行为，基于多年的App安全监测能力，梆梆安全通过移动威胁感知平台为客户提供第三方SDK行为监控，帮助客户及时发现第三方SDK热更新、越权及超范围隐私数据数据采集、数据外发等行为，为客户提供SDK数据采集行为的实时管控和拦截，对于超范围采集信息的SDK进行及时阻断，防止用户隐私数据的外泄。

做好软件供应链安全管理势在必行

CNCERT在《2019年开源软件风险研究报告》中明确指出：《网络安全审查办法》要求加强关键信息基础设施供应链安全。梆梆安全在第三方引入、开发测试、渠道分发、应用运行四个节点上进行安全控制，并配合安全服务为企业提供接入阶段安全测试、发布阶段安全管控、运维阶段安全监测能力，帮助企业建立软件供应链管理制度，保障软件供应链安全，避免出现各类违规行为，使得最终用户能够安心使用企业所提供的服务。

在当前，个人信息保护不断引起各方重视的大前提下，SDK安全问题给软件供应链安全体系构建提出新的挑战，企业不仅需要对自己开发的APP做好安全管理，同时需要对引入或外发的SDK安全予以关注，有效采用适合的SDK全生命周期安全解决方案，减少第三方SDK在使用中的安全和使用问题。