2020年9月28日，中國(guó)信息通信研究院（簡(jiǎn)稱(chēng)“中國(guó)信通院”）發(fā)布了《互聯(lián)網(wǎng)行業(yè)軟件開(kāi)發(fā)包（SDK）安全與合規(guī)報(bào)告（2020）》。這份報(bào)告聚焦于當(dāng)前移動(dòng)互聯(lián)網(wǎng)生態(tài)中廣泛使用的軟件開(kāi)發(fā)工具包（SDK）所面臨的安全與合規(guī)問(wèn)題，為網(wǎng)絡(luò)與信息安全領(lǐng)域的軟件開(kāi)發(fā)工作提供了重要的指導(dǎo)與警示。

報(bào)告開(kāi)篇即指出，SDK作為加速應(yīng)用開(kāi)發(fā)、集成第三方功能（如支付、地圖、社交分享、廣告推送等）的關(guān)鍵組件，已成為互聯(lián)網(wǎng)應(yīng)用生態(tài)的基石。其廣泛集成也帶來(lái)了顯著的安全與合規(guī)風(fēng)險(xiǎn)。許多應(yīng)用開(kāi)發(fā)者對(duì)所使用的第三方SDK缺乏足夠的安全審查與持續(xù)監(jiān)控，導(dǎo)致應(yīng)用整體安全防線存在“短板效應(yīng)”。

在安全風(fēng)險(xiǎn)方面，報(bào)告詳細(xì)剖析了以下幾類(lèi)突出問(wèn)題：

1. 數(shù)據(jù)安全風(fēng)險(xiǎn)：部分SDK存在過(guò)度收集用戶個(gè)人信息、超范圍共享數(shù)據(jù)、數(shù)據(jù)傳輸與存儲(chǔ)未加密、數(shù)據(jù)本地存儲(chǔ)不安全等問(wèn)題。SDK在靜默狀態(tài)下收集設(shè)備信息、位置、通訊錄等敏感數(shù)據(jù)的情況時(shí)有發(fā)生，嚴(yán)重侵犯用戶隱私。
2. 惡意行為風(fēng)險(xiǎn)：包括植入惡意代碼、預(yù)留“后門(mén)”、進(jìn)行遠(yuǎn)程控制、私自下載安裝應(yīng)用、惡意廣告推送以及消耗用戶資費(fèi)等。這些行為不僅損害用戶權(quán)益，也令集成該SDK的主應(yīng)用信譽(yù)受損。
3. 安全漏洞風(fēng)險(xiǎn)：SDK自身可能包含已知或未知的安全漏洞（如組件暴露、邏輯缺陷、配置錯(cuò)誤等），極易被攻擊者利用，成為攻擊整個(gè)應(yīng)用甚至手機(jī)系統(tǒng)的入口。
4. 供應(yīng)鏈安全風(fēng)險(xiǎn)：SDK本身可能依賴(lài)其他開(kāi)源或商業(yè)庫(kù)，形成復(fù)雜的供應(yīng)鏈。其中任一環(huán)節(jié)出現(xiàn)安全問(wèn)題，都可能逐級(jí)放大，影響最終應(yīng)用的穩(wěn)定性與安全性。

在合規(guī)層面，報(bào)告強(qiáng)調(diào)，隨著《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法（草案）》、《個(gè)人信息保護(hù)法（草案）》以及相關(guān)國(guó)家標(biāo)準(zhǔn)（如GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》）的深入實(shí)施，對(duì)SDK的合規(guī)要求日益嚴(yán)格。報(bào)告指出，當(dāng)前SDK生態(tài)在合規(guī)方面主要存在以下不足：

• 透明度不足：用戶難以知悉應(yīng)用中集成了哪些SDK，以及這些SDK收集了何種數(shù)據(jù)、用于何種目的。
• 權(quán)責(zé)不清：應(yīng)用開(kāi)發(fā)者（主體）與SDK提供方（受托方）在數(shù)據(jù)安全保護(hù)責(zé)任劃分上常存在模糊地帶，發(fā)生安全事件時(shí)互相推諉。
• 合規(guī)遵從性差：部分SDK在設(shè)計(jì)和運(yùn)營(yíng)時(shí)未充分考慮法律法規(guī)要求，未履行必要的安全評(píng)估、個(gè)人信息保護(hù)影響評(píng)估等義務(wù)。

針對(duì)上述挑戰(zhàn)，報(bào)告為網(wǎng)絡(luò)與信息安全軟件開(kāi)發(fā)提出了系統(tǒng)性建議：

對(duì)于應(yīng)用開(kāi)發(fā)者（集成方）：
1. 建立SDK全生命周期安全管理機(jī)制：在引入前進(jìn)行嚴(yán)格的安全與合規(guī)評(píng)估，選擇信譽(yù)良好、技術(shù)文檔齊全、安全承諾清晰的SDK提供商；在集成階段進(jìn)行安全測(cè)試（如滲透測(cè)試、代碼審計(jì)）；在上線后持續(xù)監(jiān)控SDK行為，建立應(yīng)急響應(yīng)機(jī)制。
2. 落實(shí)主體責(zé)任：明確自身作為個(gè)人信息處理者的法律地位，即使數(shù)據(jù)由SDK處理，也需承擔(dān)最終責(zé)任。應(yīng)通過(guò)合同等形式與SDK提供商明確數(shù)據(jù)安全保護(hù)責(zé)任與義務(wù)。
3. 提升透明度：在隱私政策中清晰、逐一列明所集成的SDK及其收集使用個(gè)人信息的目的、方式、范圍，并獲取用戶同意。

對(duì)于SDK提供商（供應(yīng)方）：
1. 踐行安全與隱私設(shè)計(jì)（Security & Privacy by Design）：將安全與隱私保護(hù)內(nèi)置于SDK開(kāi)發(fā)的最初階段，遵循最小必要原則收集數(shù)據(jù)，采用安全的編碼實(shí)踐和加密技術(shù)。
2. 增強(qiáng)透明度與可控性：提供詳盡、易懂的技術(shù)與合規(guī)文檔，公開(kāi)數(shù)據(jù)收集處理清單，并為應(yīng)用開(kāi)發(fā)者提供配置選項(xiàng)，允許其根據(jù)自身需求控制SDK的數(shù)據(jù)收集行為。
3. 主動(dòng)合規(guī)與安全維護(hù)：持續(xù)跟蹤法律法規(guī)動(dòng)態(tài)，及時(shí)進(jìn)行合規(guī)適配；建立漏洞管理與應(yīng)急響應(yīng)機(jī)制，定期更新SDK以修復(fù)安全漏洞。

對(duì)于行業(yè)與監(jiān)管層面：
1. 推動(dòng)標(biāo)準(zhǔn)與認(rèn)證體系建設(shè)：鼓勵(lì)制定更細(xì)化的SDK安全標(biāo)準(zhǔn)、檢測(cè)規(guī)范，推動(dòng)第三方安全認(rèn)證，建立“白名單”或可信SDK庫(kù)，為開(kāi)發(fā)者選擇提供參考。
2. 加強(qiáng)技術(shù)檢測(cè)能力：發(fā)展動(dòng)態(tài)分析、靜態(tài)分析、流量檢測(cè)等技術(shù)手段，提升對(duì)SDK隱蔽惡意行為的發(fā)現(xiàn)能力。
3. 強(qiáng)化協(xié)同治理：建立行業(yè)共享的SDK安全風(fēng)險(xiǎn)信息平臺(tái)，共享惡意SDK情報(bào)，形成治理合力。

中國(guó)信通院的這份報(bào)告深刻揭示了在當(dāng)今高度組件化、生態(tài)化的軟件開(kāi)發(fā)模式下，SDK安全已成為網(wǎng)絡(luò)與信息安全不可忽視的核心環(huán)節(jié)。保障SDK安全與合規(guī)，需要應(yīng)用開(kāi)發(fā)者、SDK提供商、行業(yè)組織及監(jiān)管部門(mén)共同努力，構(gòu)建一個(gè)透明、可信、責(zé)任清晰的移動(dòng)互聯(lián)網(wǎng)生態(tài)，這不僅是法律合規(guī)的必然要求，更是贏得用戶信任、促進(jìn)行業(yè)健康可持續(xù)發(fā)展的基石。對(duì)于廣大網(wǎng)絡(luò)與信息安全軟件開(kāi)發(fā)者而言，將安全與合規(guī)思維深度融入開(kāi)發(fā)運(yùn)維全流程，已是時(shí)代的必修課。