SDK安全专项行动”是中国信息通信研究院安全研究所大数据应用与安全创新实验室共同发起的,实验室紧跟信息技术发展趋势,依托数据安全、移动安全等领域深厚积累,通过前瞻研究和实践探索,形成了完整的SDK评测方案和指标体系。
SDK产业安全热点、痛点,内容覆盖产品基础安全、数据存储安全、数据交互安全、重要组件安全、代码及资源文件安全5大方面,检验工作在中国信通院搭建的标准化环境中进行。
SDK基本安全要求
1.应确保分发过程具备有效的完整性校验机制,避免提供的代码、资源文件遭篡改。
2.应确保分发包、Demo包内不包含病毒、木马等恶意程序。
3.应避免调试信息函数输出通信日志、关键变量等敏感信息。
4.应避免分发包、Demo包内残留内网URL、测试账号、测试数据等测试信息。
5.应避免嵌入与业务功能无关的插件、代码,或在分发包中私自打包提供其他SDK产品。
6.申请系统权限应遵循最小必要原则,避免索要非实现业务功能所必须的权限。
数据存储安全要求
1.应对存储于最终用户设备上的含有个人信息、重要数据的文件进行加密(如库表加密、文件加密等),避免被宿主App、其他App、恶意程序等非法访问、篡改。
2.宜对与宿主App或其他木地程序共同处理、使用的数据进行加密处理,并约定安全有效的解密方案,确保数据的合法授权访问。
3.应对存储于最终用户设备上的数字证书文件进行加密,避免数字证书泄露或遭非法篡改.
4.应对存储于最终用户设备上的备份数据进行加密,避免备份数据泄露。
5.应限制本地存储的配置信息、用户偏好等轻量数据读写权限,避免遭其他程序越权访问、篡改。