梆梆资讯
《App使用SDK安全指引》发布,SDK安全需关注
2020-12-07
近日,全国信息安全标准化技术委员发布《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》(简称“指引”),《指引》提出软件开发工具包(SDK)为提升App兼容性和灵活性、节约开发成本带来了便利,但是SDK带来的安全风险也需要重点关注。
《指引》中针对当前App使用SDK过程中可能面临的SDK安全漏洞、恶意行为、违法违规收集使用个人信息等问题,参考当前SDK安全最佳实践,给出了App使用SDK的安全实践指引,帮助开发者减少因SDK造成的App安全与个人信息保护问题。
梆梆安全作为行业领先的应用安全服务商,一直非常关注软件供应链安全并提供完善解决方案。SDK的引入就是软件供应链安全的一个重要节点,对于SDK的安全保障,梆梆安全在多个节点给出安全能力支持。
SDK安全漏洞、恶意行为检测
在《指引》中提出的5大类安全问题,均可以通过应用安全测评平台做自动化的安全检测,同时测评平台可以检测SDK中是否包含恶意代码,做好SDK引入的第一关。
SDK违法违规收集使用个人信息检测
梆梆安全在SDK检测方面通过合规平台为客户提供静态代码扫描及动态安全检测,及时发现在集成环节出现的SDK越权及超范围采集用户隐私数据问题。
发布后APP行为管控
由于Android热更新机制在使用层面不存在好坏之分,部分第三方SDK由于版本更新频繁,或存在一些后门开关,在集成环节并不触发恶意代码的下发,而是在用户安装在手机中之后悄悄进行热更新,在热更新过程中植入恶意代码。
《指引》中也明确提到了SDK热更新的风险。针对应用发布后的SDK行为,基于多年的App安全监测能力,梆梆安全通过移动威胁感知平台为客户提供第三方SDK行为监控,帮助客户及时发现第三方SDK热更新、越权及超范围隐私数据数据采集、数据外发等行为,为客户提供SDK数据采集行为的实时管控和拦截,对于超范围采集信息的SDK进行及时阻断,防止用户隐私数据的外泄。
做好软件供应链安全管理势在必行
CNCERT在《2019年开源软件风险研究报告》中明确指出:《网络安全审查办法》要求加强关键信息基础设施供应链安全。梆梆安全在第三方引入、开发测试、渠道分发、应用运行四个节点上进行安全控制,并配合安全服务为企业提供接入阶段安全测试、发布阶段安全管控、运维阶段安全监测能力,帮助企业建立软件供应链管理制度,保障软件供应链安全,避免出现各类违规行为,使得最终用户能够安心使用企业所提供的服务。
在当前,个人信息保护不断引起各方重视的大前提下,SDK安全问题给软件供应链安全体系构建提出新的挑战,企业不仅需要对自己开发的APP做好安全管理,同时需要对引入或外发的SDK安全予以关注,有效采用适合的SDK全生命周期安全解决方案,减少第三方SDK在使用中的安全和使用问题。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1