GB/T 43435-2023信息安全技术移动互联网应用程序(App)软件开发工具包(SDK)安全要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T43435—2023

信息安全技术移动互联网应用程序App

()

软件开发工具包SDK安全要求

()

Informationsecuritytechnology—Securityrequirementsforsoftwaredevelopment

kitSDKinmobileinternetalicationsA

()pp(pp)

2023-11-27发布2024-06-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T43435—2023

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………2

使用场景

4.1SDK………………………2

安全风险

4.2SDK………………………2

设计开发发布运营终止运营等阶段安全要求

5SDK、、、、………………2

设计

5.1…………………2

开发

5.2…………………2

发布

5.3…………………3

运营

5.4…………………3

终止运营

5.5……………3

个人信息处理安全要求

6SDK……………4

个人信息收集

6.1………………………4

个人信息存储

6.2………………………4

个人信息使用和加工

6.3………………4

个人信息传输

6.4………………………5

个人信息提供

6.5………………………5

个人信息公开

6.6………………………5

个人信息删除

6.7………………………5

附录资料性常见服务类型

A()SDK……………………6

附录资料性常见安全漏洞

B()SDK……………………9

附录资料性常见恶意行为

C()SDK…………………11

附录资料性常见处理个人信息安全问题

D()SDK…………………12

Ⅰ

GB/T43435—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位每日互动股份有限公司中国电子技术标准化研究院中国网络安全审查技术与

:、、

认证中心中国信息通信研究院北京百度网讯科技有限公司安徽工程大学蚂蚁科技集团股份有限公

、、、、

司华为技术有限公司公安部第一研究所国家计算机病毒应急处理中心高德软件有限公司北京快

、、、、、

手科技有限公司罗克佳华科技集团股份有限公司荣耀终端有限公司友盟同欣北京科技有限公司

、、、()、

公安部第三研究所国家信息技术安全研究中心国家计算机网络应急技术处理协调中心浙江省大数

、、、

据联合计算中心有限公司北京奇虎科技有限公司北京小桔科技有限公司小米通讯科技有限公司

、、、、

广东移动通信有限公司阿里巴巴北京软件服务有限公司北京抖音信息服务有限公司秒针

OPPO、()、、

信息技术有限公司上海兆言网络科技有限公司杭州云深科技有限公司浙江大学复旦大学神策网

、、、、、

络科技北京有限公司启明星辰信息技术集团股份有限公司北京智游网安科技有限公司上海合合

()、、、

信息科技股份有限公司华住酒店管理有限公司上海游昆信息技术有限公司科大讯飞股份有限公司

、、、、

同盾科技有限公司贝壳找房北京科技有限公司深圳海云安网络安全技术有限公司北京指掌易科

、()、、

技有限公司北京腾云天下科技有限公司泰尔卓信科技北京有限公司

、、()。

本文件主要起草人董霖方毅刘行周程胡影金岩郄世杰樊华田晴云何延哲李浩川武林娜

:、、、、、、、、、、、、

常浩伦李颖莹韩淼淼彭婕邓婷徐雨晴安泽亮白晓媛衣强韩煜刘彦张鑫黄玥澎王昕

、、、、、、、、、、、、、、

郭变香赵晓娜贾紫薇田宇轩张艳曹岳林星辰王一宇易立姚一楠张娜黄香敏付艳艳黄天宁

、、、、、、、、、、、、、、

田申李昳婧高雅严涵吕繁荣尹祖勇王秋解伯延汤立波臧磊周亚金郑磊李腾魏超张昀

、、、、、、、、、、、、、、、

王彬沈林余明明史景桑文锋姚栋谭成李彪谢朝海落红卫蔡欣奕刘笑岑张朝葛梦莹

、、、、、、、、、、、、、、

刘桢

。

Ⅲ

GB/T43435—2023

信息安全技术移动互联网应用程序App

()

软件开发工具包SDK安全要求

()

1范围

本文件规定了移动互联网应用程序软件开发工具包设计开发发布运营终止运营

(App)(SDK)、、、、

等阶段和个人信息处理活动的安全要求

。

本文件适用于开发运营并供安全检测和评估参考使用

SDK、,SDK。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2022

信息安全技术移动智能终端应用软件安全技术要求和测试评价方法

GB/T34975—2017

信息安全技术个人信息安全规范

GB/T35273—2020

信息安全技术个人信息去标识化指南

GB/T37964—2019

信息安全技术移动互联网应用程序收集个人信息基本要求

GB/T41391—2022(App)

3术语和定义

界定的以及下列术语和定义适用于

GB/T25069—2022、GB/T35273—2020、GB/T41391—2022

本文件

。

31

.

软件开发工具包softwaredevelopmentkitSDK