標準解讀

《GB/T 43435-2023 信息安全技術 移動互聯網應用程序(App)軟件開發工具包(SDK)安全要求》這一標準主要針對移動互聯網應用中使用的SDK提出了一系列的安全規范。它旨在通過定義一系列的技術與管理措施來提升SDK的安全性,從而保護用戶數據不被非法訪問或濫用,并確保應用程序能夠在一個更加安全的環境中運行。

該標準涵蓋了SDK設計、開發、測試以及部署等整個生命周期中的多個關鍵方面。對于SDK的設計階段,強調了需遵循最小權限原則,即SDK僅應請求完成其功能所必需的數據訪問權限和系統資源;同時,在收集個人信息時必須明確告知用戶并獲得同意。此外,還要求對敏感信息采取加密存儲及傳輸的方式以增強安全性。

在開發過程中,《GB/T 43435-2023》提倡使用安全編碼實踐,比如避免硬編碼密碼、定期更新依賴庫版本等,以此減少潛在漏洞的存在。同時,也鼓勵開發者們采用自動化工具進行代碼審查,及時發現并修復可能存在的安全隱患。

針對測試環節,本標準建議實施全面的安全測試策略,包括但不限于滲透測試、靜態分析等方法,用以驗證SDK是否存在已知類型的漏洞或者可以被惡意利用的風險點。而且,在正式發布前還需要經過嚴格的質量控制流程,確保所有已識別的問題都得到了妥善解決。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2023-11-27 頒布
  • 2024-06-01 實施
?正版授權
GB/T 43435-2023信息安全技術移動互聯網應用程序(App)軟件開發工具包(SDK)安全要求_第1頁
GB/T 43435-2023信息安全技術移動互聯網應用程序(App)軟件開發工具包(SDK)安全要求_第2頁
GB/T 43435-2023信息安全技術移動互聯網應用程序(App)軟件開發工具包(SDK)安全要求_第3頁
GB/T 43435-2023信息安全技術移動互聯網應用程序(App)軟件開發工具包(SDK)安全要求_第4頁
免費預覽已結束,剩余16頁可下載查看

下載本文檔

GB/T 43435-2023信息安全技術移動互聯網應用程序(App)軟件開發工具包(SDK)安全要求-免費下載試讀頁

文檔簡介

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T43435—2023

信息安全技術移動互聯網應用程序App

()

軟件開發工具包SDK安全要求

()

Informationsecuritytechnology—Securityrequirementsforsoftwaredevelopment

kitSDKinmobileinternetalicationsA

()pp(pp)

2023-11-27發布2024-06-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T43435—2023

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

概述

4………………………2

使用場景

4.1SDK………………………2

安全風險

4.2SDK………………………2

設計開發發布運營終止運營等階段安全要求

5SDK、、、、………………2

設計

5.1…………………2

開發

5.2…………………2

發布

5.3…………………3

運營

5.4…………………3

終止運營

5.5……………3

個人信息處理安全要求

6SDK……………4

個人信息收集

6.1………………………4

個人信息存儲

6.2………………………4

個人信息使用和加工

6.3………………4

個人信息傳輸

6.4………………………5

個人信息提供

6.5………………………5

個人信息公開

6.6………………………5

個人信息刪除

6.7………………………5

附錄資料性常見服務類型

A()SDK……………………6

附錄資料性常見安全漏洞

B()SDK……………………9

附錄資料性常見惡意行為

C()SDK…………………11

附錄資料性常見處理個人信息安全問題

D()SDK…………………12

GB/T43435—2023

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位每日互動股份有限公司中國電子技術標準化研究院中國網絡安全審查技術與

:、、

認證中心中國信息通信研究院北京百度網訊科技有限公司安徽工程大學螞蟻科技集團股份有限公

、、、、

司華為技術有限公司公安部第一研究所國家計算機病毒應急處理中心高德軟件有限公司北京快

、、、、、

手科技有限公司羅克佳華科技集團股份有限公司榮耀終端有限公司友盟同欣北京科技有限公司

、、、()、

公安部第三研究所國家信息技術安全研究中心國家計算機網絡應急技術處理協調中心浙江省大數

、、、

據聯合計算中心有限公司北京奇虎科技有限公司北京小桔科技有限公司小米通訊科技有限公司

、、、、

廣東移動通信有限公司阿里巴巴北京軟件服務有限公司北京抖音信息服務有限公司秒針

OPPO、()、、

信息技術有限公司上海兆言網絡科技有限公司杭州云深科技有限公司浙江大學復旦大學神策網

、、、、、

絡科技北京有限公司啟明星辰信息技術集團股份有限公司北京智游網安科技有限公司上海合合

()、、、

信息科技股份有限公司華住酒店管理有限公司上海游昆信息技術有限公司科大訊飛股份有限公司

、、、、

同盾科技有限公司貝殼找房北京科技有限公司深圳海云安網絡安全技術有限公司北京指掌易科

、()、、

技有限公司北京騰云天下科技有限公司泰爾卓信科技北京有限公司

、、()。

本文件主要起草人董霖方毅劉行周程胡影金巖郄世杰樊華田晴云何延哲李浩川武林娜

:、、、、、、、、、、、、

常浩倫李穎瑩韓淼淼彭婕鄧婷徐雨晴安澤亮白曉媛衣強韓煜劉彥張鑫黃玥澎王昕

、、、、、、、、、、、、、、

郭變香趙曉娜賈紫薇田宇軒張艷曹岳林星辰王一宇易立姚一楠張娜黃香敏付艷艷黃天寧

、、、、、、、、、、、、、、

田申李昳婧高雅嚴涵呂繁榮尹祖勇王秋解伯延湯立波臧磊周亞金鄭磊李騰魏超張昀

、、、、、、、、、、、、、、、

王彬沈林余明明史景桑文鋒姚棟譚成李彪謝朝海落紅衛蔡欣奕劉笑岑張朝葛夢瑩

、、、、、、、、、、、、、、

劉楨

GB/T43435—2023

信息安全技術移動互聯網應用程序App

()

軟件開發工具包SDK安全要求

()

1范圍

本文件規定了移動互聯網應用程序軟件開發工具包設計開發發布運營終止運營

(App)(SDK)、、、、

等階段和個人信息處理活動的安全要求

本文件適用于開發運營并供安全檢測和評估參考使用

SDK、,SDK。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

信息安全技術術語

GB/T25069—2022

信息安全技術移動智能終端應用軟件安全技術要求和測試評價方法

GB/T34975—2017

信息安全技術個人信息安全規范

GB/T35273—2020

信息安全技術個人信息去標識化指南

GB/T37964—2019

信息安全技術移動互聯網應用程序收集個人信息基本要求

GB/T41391—2022(App)

3術語和定義

界定的以及下列術語和定義適用于

GB/T25069—2022、GB/T35273—2020、GB/T41391—2022

本文件

31

.

軟件開發工具包softwaredevelopmentkitSDK

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論