8月20日,《移动互联网应用程序(APP)SDK安全指南》(以下简称《指南》)编制工作研讨会在北京召开。据悉,该《指南》将会是国内首个关于SDK安全的国家标准。此前,全国信息安全标准化技术委员会公示了2020年网络安全国家标准制定项目立项清单,由浙江每日互动网络科技股份有限公司(个推)、中国电子技术标准化研究院、中国网络安全审查技术与认证中心等申请的《信息安全技术移动互联网应用程序(APP)SDK安全指南》国家标准项目正式立项。此次线下研讨会总结了现阶段《指南》的编制情况,讨论并部署了下一阶段的编制工作计划。中央网信办网安局处长陈吉学,全国信息安全标准化技术委员会副秘书长刘贤刚,WG1-信息安全标准体系与协调工作组组长顾建国,工信部电子工业标准化研究院原党委书记林宁,清华大学教授叶晓俊,App专项治理工作组副组长、北京理工大学法学院研究员洪延青,SDK安全指南编织项目负责人、每日互动创始人方毅等出席了此次会议。

 

 

图:《移动互联网应用程序(APP)SDK安全指南》编制工作研讨会现场

 

每日互动(个推)是本次SDK安全标准的牵头起草单位,参与编制工作的还有中国电子技术标准化研究院、中国网络安全审查技术与认证中心、浙江大学、复旦大学、重庆邮电大学、百度网讯、滴滴、科大讯飞、贝壳找房、国家计算机病毒应急处理中心、上海合合信息科技、小米、爱加密、华住酒店管理、OPPO、阿里巴巴、蚂蚁集团、友盟、华为、360、腾讯等。该安全标准的制定对进一步推动行业健康安全发展及保障个人合法权益都具有深远意义。

 

近年来,移动互联网应用程序(APP)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用。为提高APP的开发效率、降低开发成本、提升用户使用体验等,APP开发者和运营者往往会通过集成软件开发工具包(即SDK)以满足推送、统计、支付、即时通讯、地图等不同功能。现如今,SDK已被广泛运用于各类APP的开发,成为APP的重要组成部分之一。

 

随着APP个人信息保护治理工作的深入推进,与APP存在密切联系的第三方SDK的相关问题与行业规范也愈发被重视。2019年1月,中央网信办、工信部、公安部、市场监督局四部门在全国范围内组织开展了APP专项治理行动;今年7月,四部门又再次启动了新一轮的治理工作,将SDK也纳入了评估。市场也亟需SDK安全标准及指南的出台,一方面帮助APP开发者安全使用SDK,一方面指导SDK提供者提升SDK安全性与规范性。

 

基于这样的背景,深耕SDK领域十多年的每日互动联合相关单位共同申请了SDK国家标准制定项目。该《指南》将根据《中华人民共和国网络安全法》等相关法律,从SDK安全开发、SDK个人信息安全、APP集成安全等方面,提出SDK控制者在开发、运营、个人信息处理、数据安全管理、跨境管理等环节应遵循的原则和安全措施。

 

中央网信办网安局处长陈吉学在会议中指出,SDK安全标准的立项意义非凡,能够促进行业更好地发展。同时陈吉学也建议,会议的讨论和标准的制定都需要坚持问题导向,针对不同的问题、风险点,提出切实管用的措施,希望制定的标准确实能管用、好用,在保障个人权益的基础上更好地促进发展。

 

 

图:中央网信办网安局处长陈吉学发言

 

全国信息安全标准化技术委员会副秘书长刘贤刚表示,SDK安全标准是今年信安标委一项非常重要的标准,目前正作为重点项目推进中。SDK在移动互联网领域使用广泛,也随之出现一些安全问题。每日互动作为SDK领域著名的头部企业,在组成项目申报团队的时候积极牵头,把产业链的企业、研究院和相关单位进行了有效的组队。他表示,在项目启动初期邀请各方专家、企业代表共同关注并推动标准,十分有意义。

 

 

图:全国信息安全标准化技术委员会副秘书长刘贤刚发言

 

每日互动创始人、CEO方毅总结了公司在大数据方面的实践原则,“严把采集入口,划清流转边界,守正应用场景”。他对当前SDK类别、标准制定过程、标准框架、使用场景、安全风险、APP和SDK之间的角色关系等方面进行了梳理和分享,希望与各参与方一同推动全生命周期的闭环管理,通过标准来规范和指导SDK、APP与用户的安全。

 

 

图:每日互动创始人、CEO方毅发言

 

此次研讨会还邀请了几位业界专家对标准的研制进行全面的指导。WG1信息安全标准体系与协调工作组组长顾建国认为此项标准对于进一步加强互联网的治理、建设互联网的良好生态具有非常重要的基础性的支撑作用,对于如何做好标准的研制,顾建国提出了要以问题为导向、依法依规、规范适用、安全责任关系要清晰等建议。工信部电子工业标准化研究院原党委书记林宁认为标准是行业发展的基础,希望可以明确关键节点和环节,衡量标准与标准之间的关系。清华大学教授叶晓俊希望各参与单位结合自身实践,明确使用场景。北京理工大学法学院研究员、APP专项治理工作组副组长洪延青希望标准的研制能结合当前的大环境,比如相关法律法规的逐步颁发、5G时代科技浪潮以及对社会大众的影响等。APP治理工作组专家何延哲认为要重视透明化的工作,对开发者透明、对应用者透明、对普通用户透明。

 

会上,来自中国电子技术标准化研究院、百度、滴滴、小米等起草单位的代表,都结合了自身企业的发展实践和经验分别发表了意见和建议,也对当前遇到的问题和与会专家进行了探讨和交流。

 

 

图:会上,各起草单位代表和与会专家进行深入的探讨和交流

 

在国家标准的指导下,APP开发者能避免无SDK敢用而被迫重复开发的窘境,从而提升资源的使用效率;同时,SDK行业也将趋向于更为规范、蓬勃的发展,并实现良币驱逐劣币。未来,SDK安全国家标准的发布及执行,对保障个人合法权益和社会公共利益都有重大意义。