8 月 20 日晚间消息,今日,《移动互联网应用程序 (App)SDK 安全指南》(以下简称《指南》)编制工作研讨会在北京召开。据悉,该《指南》将会是国内首个关于 SDK 安全的国家标准。此前,全国信息安全标准化技术委员会公示了 2020 年网络安全国家标准制定项目立项清单,由浙江每日互动网络科技股份有限公司(个推)、中国电子技术标准化研究院、中国网络安全审查技术与认证中心等申请的《信息安全技术移动互联网应用程序(App)SDK 安全指南》国家标准项目正式立项。此次线下研讨会总结了现阶段《指南》的编制情况,讨论并部署了下一阶段的编制工作计划。
每日互动(个推)是本次 SDK 安全标准的牵头起草单位,参与编制工作的还有中国电子技术标准化研究院、中国网络安全审查技术与认证中心、浙江大学、复旦大学、重庆邮电大学、百度网讯、滴滴、科大讯飞、贝壳找房、国家计算机病毒应急处理中心、上海合合信息科技、小米、爱加密、华住酒店管理、OPPO、阿里巴巴、蚂蚁集团、友盟、华为、360、腾讯等。该安全标准的制定对进一步推动行业健康安全发展及保障个人合法权益都具有深远意义。
近年来,移动互联网应用程序 (App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用。为提高 App 的开发效率、降低开发成本、提升用户使用体验等,App 开发者和运营者往往会通过集成软件开发工具包(即 SDK)以满足推送、统计、支付、即时通讯、地图等不同功能。现如今,SDK 已被广泛运用于各类 App 的开发 , 成为 App 的重要组成部分之一。
随着 App 个人信息保护治理工作的深入推进,与 App 存在密切联系的第三方 SDK 的相关问题与行业规范也愈发被重视。2019 年 1 月,中央网信办、工信部、公安部、市场监督局四部门在全国范围内组织开展了 App 专项治理行动;今年 7 月,四部门又再次启动了新一轮的治理工作,将 SDK 也纳入了评估。市场也亟需 SDK 安全标准及指南的出台,一方面帮助 App 开发者安全使用 SDK,一方面指导 SDK 提供者提升 SDK 安全性与规范性。
基于这样的背景,深耕 SDK 领域十多年的每日互动联合相关单位共同申请了 SDK 国家标准制定项目。该《指南》将根据《中华人民共和国网络安全法》等相关法律,从 SDK 安全开发、SDK 个人信息安全、App 集成安全等方面,提出 SDK 控制者在开发、运营、个人信息处理、数据安全管理、跨境管理等环节应遵循的原则和安全措施。
全国信息安全标准化技术委员会副秘书长刘贤刚表示,SDK 安全标准是今年信安标委一项非常重要的标准,目前正作为重点项目推进中。SDK 在移动互联网领域使用广泛,也随之出现一些安全问题。每日互动作为 SDK 领域著名的头部企业,在组成项目申报团队的时候积极牵头,把产业链的企业、研究院和相关单位进行了有效的组队。他表示,在项目启动初期邀请各方专家、企业代表共同关注并推动标准,十分有意义。
▲全国信息安全标准化技术委员会副秘书长刘贤刚发言
每日互动创始人、CEO 方毅总结了公司在大数据方面的实践原则,“严把采集入口,划清流转边界,守正应用场景”。他对当前 SDK 类别、标准制定过程、标准框架、使用场景、安全风险、App 和 SDK 之间的角色关系等方面进行了梳理和分享,希望与各参与方一同推动全生命周期的闭环管理,通过标准来规范和指导 SDK、App 与用户的安全。
▲每日互动创始人、CEO 方毅发言
此次研讨会还邀请了几位业界专家对标准的研制进行全面的指导。
会上,来自中国电子技术标准化研究院、百度、滴滴、小米等起草单位的代表,都结合了自身企业的发展实践和经验分别发表了意见和建议,也对当前遇到的问题和与会专家进行了探讨和交流。
▲会上,各起草单位代表和与会专家进行深入的探讨和交流
在国家标准的指导下,App 开发者能避免无 SDK 敢用而被迫重复开发的窘境,从而提升资源的使用效率;同时,SDK 行业也将趋向于更为规范、蓬勃的发展,并实现良币驱逐劣币。未来,SDK 安全国家标准的发布及执行,对保障个人合法权益和社会公共利益都有重大意义。