标准解读
《GB/T 43435-2023 信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》这一标准主要针对移动互联网应用中使用的SDK提出了一系列的安全规范。它旨在通过定义一系列的技术与管理措施来提升SDK的安全性,从而保护用户数据不被非法访问或滥用,并确保应用程序能够在一个更加安全的环境中运行。
该标准涵盖了SDK设计、开发、测试以及部署等整个生命周期中的多个关键方面。对于SDK的设计阶段,强调了需遵循最小权限原则,即SDK仅应请求完成其功能所必需的数据访问权限和系统资源;同时,在收集个人信息时必须明确告知用户并获得同意。此外,还要求对敏感信息采取加密存储及传输的方式以增强安全性。
在开发过程中,《GB/T 43435-2023》提倡使用安全编码实践,比如避免硬编码密码、定期更新依赖库版本等,以此减少潜在漏洞的存在。同时,也鼓励开发者们采用自动化工具进行代码审查,及时发现并修复可能存在的安全隐患。
针对测试环节,本标准建议实施全面的安全测试策略,包括但不限于渗透测试、静态分析等方法,用以验证SDK是否存在已知类型的漏洞或者可以被恶意利用的风险点。而且,在正式发布前还需要经过严格的质量控制流程,确保所有已识别的问题都得到了妥善解决。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2023-11-27 颁布
- 2024-06-01 实施




文档简介
ICS35030
CCSL.80
中华人民共和国国家标准
GB/T43435—2023
信息安全技术移动互联网应用程序App
()
软件开发工具包SDK安全要求
()
Informationsecuritytechnology—Securityrequirementsforsoftwaredevelopment
kitSDKinmobileinternetalicationsA
()pp(pp)
2023-11-27发布2024-06-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T43435—2023
目次
前言
…………………………Ⅲ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
概述
4………………………2
使用场景
4.1SDK………………………2
安全风险
4.2SDK………………………2
设计开发发布运营终止运营等阶段安全要求
5SDK、、、、………………2
设计
5.1…………………2
开发
5.2…………………2
发布
5.3…………………3
运营
5.4…………………3
终止运营
5.5……………3
个人信息处理安全要求
6SDK……………4
个人信息收集
6.1………………………4
个人信息存储
6.2………………………4
个人信息使用和加工
6.3………………4
个人信息传输
6.4………………………5
个人信息提供
6.5………………………5
个人信息公开
6.6………………………5
个人信息删除
6.7………………………5
附录资料性常见服务类型
A()SDK……………………6
附录资料性常见安全漏洞
B()SDK……………………9
附录资料性常见恶意行为
C()SDK…………………11
附录资料性常见处理个人信息安全问题
D()SDK…………………12
Ⅰ
GB/T43435—2023
前言
本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定
GB/T1.1—2020《1:》
起草
。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任
。。
本文件由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本文件起草单位每日互动股份有限公司中国电子技术标准化研究院中国网络安全审查技术与
:、、
认证中心中国信息通信研究院北京百度网讯科技有限公司安徽工程大学蚂蚁科技集团股份有限公
、、、、
司华为技术有限公司公安部第一研究所国家计算机病毒应急处理中心高德软件有限公司北京快
、、、、、
手科技有限公司罗克佳华科技集团股份有限公司荣耀终端有限公司友盟同欣北京科技有限公司
、、、()、
公安部第三研究所国家信息技术安全研究中心国家计算机网络应急技术处理协调中心浙江省大数
、、、
据联合计算中心有限公司北京奇虎科技有限公司北京小桔科技有限公司小米通讯科技有限公司
、、、、
广东移动通信有限公司阿里巴巴北京软件服务有限公司北京抖音信息服务有限公司秒针
OPPO、()、、
信息技术有限公司上海兆言网络科技有限公司杭州云深科技有限公司浙江大学复旦大学神策网
、、、、、
络科技北京有限公司启明星辰信息技术集团股份有限公司北京智游网安科技有限公司上海合合
()、、、
信息科技股份有限公司华住酒店管理有限公司上海游昆信息技术有限公司科大讯飞股份有限公司
、、、、
同盾科技有限公司贝壳找房北京科技有限公司深圳海云安网络安全技术有限公司北京指掌易科
、()、、
技有限公司北京腾云天下科技有限公司泰尔卓信科技北京有限公司
、、()。
本文件主要起草人董霖方毅刘行周程胡影金岩郄世杰樊华田晴云何延哲李浩川武林娜
:、、、、、、、、、、、、
常浩伦李颖莹韩淼淼彭婕邓婷徐雨晴安泽亮白晓媛衣强韩煜刘彦张鑫黄玥澎王昕
、、、、、、、、、、、、、、
郭变香赵晓娜贾紫薇田宇轩张艳曹岳林星辰王一宇易立姚一楠张娜黄香敏付艳艳黄天宁
、、、、、、、、、、、、、、
田申李昳婧高雅严涵吕繁荣尹祖勇王秋解伯延汤立波臧磊周亚金郑磊李腾魏超张昀
、、、、、、、、、、、、、、、
王彬沈林余明明史景桑文锋姚栋谭成李彪谢朝海落红卫蔡欣奕刘笑岑张朝葛梦莹
、、、、、、、、、、、、、、
刘桢
。
Ⅲ
GB/T43435—2023
信息安全技术移动互联网应用程序App
()
软件开发工具包SDK安全要求
()
1范围
本文件规定了移动互联网应用程序软件开发工具包设计开发发布运营终止运营
(App)(SDK)、、、、
等阶段和个人信息处理活动的安全要求
。
本文件适用于开发运营并供安全检测和评估参考使用
SDK、,SDK。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文
。,
件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于
,;,()
本文件
。
信息安全技术术语
GB/T25069—2022
信息安全技术移动智能终端应用软件安全技术要求和测试评价方法
GB/T34975—2017
信息安全技术个人信息安全规范
GB/T35273—2020
信息安全技术个人信息去标识化指南
GB/T37964—2019
信息安全技术移动互联网应用程序收集个人信息基本要求
GB/T41391—2022(App)
3术语和定义
界定的以及下列术语和定义适用于
GB/T25069—2022、GB/T35273—2020、GB/T41391—2022
本文件
。
31
.
软件开发工具包softwaredevelopmentkitSDK
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 2025至2030中国智能VR手术眼镜市场发展现状及未来前景预测分析报告
- 2025至2030中国整体马力马达行业发展趋势分析与未来投资战略咨询研究报告
- 2025至2030中国投币式洗衣机行业投资前景与竞争对手分析报告
- 2025至2030中国手机零售行业发展趋势分析与未来投资战略咨询研究报告
- 2025至2030中国感冒、咳嗽和喉咙痛行业发展趋势分析与未来投资战略咨询研究报告
- 2025至2030中国循环蒸发器行业发展趋势分析与未来投资战略咨询研究报告
- 2025至2030中国建筑结构用钢板行业发展趋势分析与未来投资战略咨询研究报告
- 2025至2030中国废铁行业产业运行态势及投资规划深度研究报告
- 2025至2030中国平跟靴行业调研分析及产业运行态势及投资规划深度研究报告
- 2025至2030中国市政工程行业发展趋势分析与未来投资战略咨询研究报告
- GB/T 10069.3-2024旋转电机噪声测定方法及限值第3部分:噪声限值
- TTJSFB 002-2024 绿色融资租赁项目评价指南
- 无人机培训计划及方案
- 临终关怀中的文化敏感性
- 河湖生态系统保护与修复工程技术导则
- 运动改造大脑阅读记录
- DL∕T 2011-2019 大型发电机定子绕组现场更换处理试验规程
- 从黄土高原视角品黄河生态变迁智慧树知到期末考试答案章节答案2024年西北工业大学
- 电通量高斯定理课件
- 广东省东莞市2023-2024学年高二下学期7月期末英语试题
- 2024年云南省职业院校技能大赛(中职组)植物嫁接赛项考试题库(含答案)
评论
0/150
提交评论