标准解读

《GB/T 43435-2023 信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》这一标准主要针对移动互联网应用中使用的SDK提出了一系列的安全规范。它旨在通过定义一系列的技术与管理措施来提升SDK的安全性,从而保护用户数据不被非法访问或滥用,并确保应用程序能够在一个更加安全的环境中运行。

该标准涵盖了SDK设计、开发、测试以及部署等整个生命周期中的多个关键方面。对于SDK的设计阶段,强调了需遵循最小权限原则,即SDK仅应请求完成其功能所必需的数据访问权限和系统资源;同时,在收集个人信息时必须明确告知用户并获得同意。此外,还要求对敏感信息采取加密存储及传输的方式以增强安全性。

在开发过程中,《GB/T 43435-2023》提倡使用安全编码实践,比如避免硬编码密码、定期更新依赖库版本等,以此减少潜在漏洞的存在。同时,也鼓励开发者们采用自动化工具进行代码审查,及时发现并修复可能存在的安全隐患。

针对测试环节,本标准建议实施全面的安全测试策略,包括但不限于渗透测试、静态分析等方法,用以验证SDK是否存在已知类型的漏洞或者可以被恶意利用的风险点。而且,在正式发布前还需要经过严格的质量控制流程,确保所有已识别的问题都得到了妥善解决。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2023-11-27 颁布
  • 2024-06-01 实施
©正版授权
GB/T 43435-2023信息安全技术移动互联网应用程序(App)软件开发工具包(SDK)安全要求_第1页
GB/T 43435-2023信息安全技术移动互联网应用程序(App)软件开发工具包(SDK)安全要求_第2页
GB/T 43435-2023信息安全技术移动互联网应用程序(App)软件开发工具包(SDK)安全要求_第3页
GB/T 43435-2023信息安全技术移动互联网应用程序(App)软件开发工具包(SDK)安全要求_第4页
免费预览已结束,剩余16页可下载查看

下载本文档

GB/T 43435-2023信息安全技术移动互联网应用程序(App)软件开发工具包(SDK)安全要求-免费下载试读页

文档简介

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T43435—2023

信息安全技术移动互联网应用程序App

()

软件开发工具包SDK安全要求

()

Informationsecuritytechnology—Securityrequirementsforsoftwaredevelopment

kitSDKinmobileinternetalicationsA

()pp(pp)

2023-11-27发布2024-06-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T43435—2023

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………2

使用场景

4.1SDK………………………2

安全风险

4.2SDK………………………2

设计开发发布运营终止运营等阶段安全要求

5SDK、、、、………………2

设计

5.1…………………2

开发

5.2…………………2

发布

5.3…………………3

运营

5.4…………………3

终止运营

5.5……………3

个人信息处理安全要求

6SDK……………4

个人信息收集

6.1………………………4

个人信息存储

6.2………………………4

个人信息使用和加工

6.3………………4

个人信息传输

6.4………………………5

个人信息提供

6.5………………………5

个人信息公开

6.6………………………5

个人信息删除

6.7………………………5

附录资料性常见服务类型

A()SDK……………………6

附录资料性常见安全漏洞

B()SDK……………………9

附录资料性常见恶意行为

C()SDK…………………11

附录资料性常见处理个人信息安全问题

D()SDK…………………12

GB/T43435—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位每日互动股份有限公司中国电子技术标准化研究院中国网络安全审查技术与

:、、

认证中心中国信息通信研究院北京百度网讯科技有限公司安徽工程大学蚂蚁科技集团股份有限公

、、、、

司华为技术有限公司公安部第一研究所国家计算机病毒应急处理中心高德软件有限公司北京快

、、、、、

手科技有限公司罗克佳华科技集团股份有限公司荣耀终端有限公司友盟同欣北京科技有限公司

、、、()、

公安部第三研究所国家信息技术安全研究中心国家计算机网络应急技术处理协调中心浙江省大数

、、、

据联合计算中心有限公司北京奇虎科技有限公司北京小桔科技有限公司小米通讯科技有限公司

、、、、

广东移动通信有限公司阿里巴巴北京软件服务有限公司北京抖音信息服务有限公司秒针

OPPO、()、、

信息技术有限公司上海兆言网络科技有限公司杭州云深科技有限公司浙江大学复旦大学神策网

、、、、、

络科技北京有限公司启明星辰信息技术集团股份有限公司北京智游网安科技有限公司上海合合

()、、、

信息科技股份有限公司华住酒店管理有限公司上海游昆信息技术有限公司科大讯飞股份有限公司

、、、、

同盾科技有限公司贝壳找房北京科技有限公司深圳海云安网络安全技术有限公司北京指掌易科

、()、、

技有限公司北京腾云天下科技有限公司泰尔卓信科技北京有限公司

、、()。

本文件主要起草人董霖方毅刘行周程胡影金岩郄世杰樊华田晴云何延哲李浩川武林娜

:、、、、、、、、、、、、

常浩伦李颖莹韩淼淼彭婕邓婷徐雨晴安泽亮白晓媛衣强韩煜刘彦张鑫黄玥澎王昕

、、、、、、、、、、、、、、

郭变香赵晓娜贾紫薇田宇轩张艳曹岳林星辰王一宇易立姚一楠张娜黄香敏付艳艳黄天宁

、、、、、、、、、、、、、、

田申李昳婧高雅严涵吕繁荣尹祖勇王秋解伯延汤立波臧磊周亚金郑磊李腾魏超张昀

、、、、、、、、、、、、、、、

王彬沈林余明明史景桑文锋姚栋谭成李彪谢朝海落红卫蔡欣奕刘笑岑张朝葛梦莹

、、、、、、、、、、、、、、

刘桢

GB/T43435—2023

信息安全技术移动互联网应用程序App

()

软件开发工具包SDK安全要求

()

1范围

本文件规定了移动互联网应用程序软件开发工具包设计开发发布运营终止运营

(App)(SDK)、、、、

等阶段和个人信息处理活动的安全要求

本文件适用于开发运营并供安全检测和评估参考使用

SDK、,SDK。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

信息安全技术术语

GB/T25069—2022

信息安全技术移动智能终端应用软件安全技术要求和测试评价方法

GB/T34975—2017

信息安全技术个人信息安全规范

GB/T35273—2020

信息安全技术个人信息去标识化指南

GB/T37964—2019

信息安全技术移动互联网应用程序收集个人信息基本要求

GB/T41391—2022(App)

3术语和定义

界定的以及下列术语和定义适用于

GB/T25069—2022、GB/T35273—2020、GB/T41391—2022

本文件

31

.

软件开发工具包softwaredevelopmentkitSDK

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论