百家智库 | 项目:第三方SDK安全合规分析报告
2021年7月,以网络安全甲方专家为主的“百家智库”正式建立并公开招募。智库以务实又持续的机制和方式,向诸子云会员个人、所在企业及行业、网络安全产业,以及各类关注并从事网络安全相关工作的机构和个人,提供侧重最佳实践的价值输出,具体包括观点输出、专业分享、课题项目、调查报告、联合出版、顾问高参等方式或形式。
作为“百家智库”社群活动计划的一个部分,“诸子项目”第一期的成果已陆续于近日提交。第一期“诸子项目”共有13个,涵盖CSO知识体系、个人信息保护、红蓝对抗、渗透测试、数据安全、数字钱包、风险管理、安全开发、物联网安全等领域。
今天我们要介绍的项目,是通过大量调查研究,针对安全人在对第三方SDK进行安全合规分析而出的《第三方SDK安全合规分析报告》。(获取方式见文末)
第三方SDK安全合规分析报告
本项目由诸子云特聘专家自组项目组独立完成。
项目内容:本项目对第三方SDK进行安全合规分析,基于乐信自主研发的SDK风险检测平台,监控SDK在使用过程中获取用户隐私、权限调用、热更新、资源访问等多维度敏感行为,发现SDK合规风险,并针对第三方SDK提供者和App开发运营者提出安全合规建议,为促进移动应用行业生态的健康发展提供参考。
项目经理
刘志诚
乐信集团信息安全中心总监,中科院心理研究所管理心理学博士,印第安纳大学kelley 商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP 广东区负责人。
项目成员
黄凤翔
物联网制造业信息安全工程师,哈尔滨工业大学/香港科技大学硕士;负责嵌入式产品及物联网系统信息安全及隐私保护相关工作;相关资格证书:EXIN DPO,CISPDSG。
邹涛
乐信集团信息安全中心安全工程师,硕士,负责 App 应用安全保护开发及隐私合规相关工作。
汪亚军
乐信集团信息安全中心安全工程师,15 年信息安全工作从业经历,负责移动应用及业务安全防护相关工作;拥有 CISSP/ISO27001/CSA/CISP-PTE/CISAW 等资格证书。
杨颖
乐信集团信息安全中心安全工程师,10 年移动 APP 和 WEB 安全检测经验,拥有CISSP/CISP/CISAW 等资格证书。
李喆
某国际物流企业安全隐私合规 APAC 大区负责人,德堡大学数据安全治理及风控管理专业的硕士学位,拥有 CISA,CRISC, ISO27001 Master 等资格证书。8 年安全合规及风控的管理经验,曾就职于美国三星半导体集团,Paypal 等跨国企业,负责上市公司数据管理合规, PCI 合规认证,GDPR 相关的数据隐私合规及风控治理的工作。
黄薇
印第安纳大学kelley商学院金融硕士( MF ),战略规划专家;
拥有CBAP/CISA/CISAW/CDPSE等资格证书。
在此感谢参与项目工作的专家。由于时间仓促,存在很多不足的地方,请大家批评指正。欢迎大家提供修改意见,可发送邮件到下面邮箱:ddsmr119@126.com
我们谨代表中国企业网络安全专家联盟(诸子云),感谢所有为本报告提供时间和反馈的专家及个人。我们珍视您的志愿者贡献,相信像您这样的志愿者将继续引领诸子云走向未来。
项目概览
App在提供各类便捷、高效、普惠服务的同时,也在无时无刻地收集、使用用户的个人信息,与App存在密切联系的第三方SDK收集个人信息的问题频频暴雷,SDK合规性已成为移动应用安全的痛点。
App与第三方SDK呈现出来的法律关系是基于软件使用许可、合作或授权等合同建立的合同关系,双方的权利、义务、责任受双方协议的约束和调整。
为满足App应用的业务需求,减少开发和运营成本,在应用开发过程中会集成各类功能的第三方SDK代码,第三方SDK能够有效地提高应用开发效率,提升用户体验,为应用赋能,成为App应用生态的重要组成部分。通过对各类别样本App进行统计,每款App平均集成使用第三方SDK多达二十几款,其中生活服务、消费购物、新闻传媒等类别应用集成第三方SDK数量较多。
使用静态分析对常见类型SDK的隐私权限、数据采集 API 进行检测。广告类 SDK 平均数据权限和采集项最多,达到20项,其次是推送类平均18项,统计类平均17项,之后依次是地图类平均15项、支付类平均12项,分享和第三方登录类平均11项。
从第三方SDK应用情况来看,App 使用第三方SDK已成为普遍现象,平均每款App使用第三方SDK的数量在20个以上,第三方SDK类别和功能逐渐多样化。第三方SDK的合规对App的合规影响越来越大,国家、各行业监管、社会团体及开发者对其关注度也越来越高。
为什么想到要做第三方 SDK 安全合规分析报告?刘志诚感触颇多。
2021年的《数据安全法》《个人信息保护法》陆续出台,网信办、工信部、公安部相关机构相继开展了APP相关用户信息合规的检查和通报,对行业和社会影响显著,行业对法律法规的理解遵从及技术方案层面的落实,存在普遍性需求。
自身APP的安全在进行个人信息影响(PIA)分析和基于隐私设计的(PBD)原则指导下的开发,基本可以实现对用户信息保护的合规性要求。问题的难点在于互联网业务的生态体系以服务的模式互相交织,集成在APP中第三方服务的SDK,由于脱离了企业的控制,如何识别,检测,发现其中的个人信息合规性风险存在一定的困难,尤其是SDK后台服务的动态特性,更使静态的检测难以发现运行时的权限利用风险。
为了更好的促进互联网行业发展,为互联网行业的个人信息保护提供参考方案,作为乐信信息安全负责人以及安全社区共享合作的倡导者,我希望分享相关的经验,与互联网行业共同推动第三方SDK个人信息保护合规的治理。因此,就在安在发起了相关的项目。
项目得到了安在成员的热烈响应,来自各行业的精英成员组成了团队,首先从行业现状,法律法规分析,典型APP收集,进行了分工讨论,然后利用乐信第三方安全SDK检测和监测平台对典型APP的SDK应用情况进行检测和检测,对输出数据利用专家经验进行汇总,分析,研判,形成了相关的行业洞察。
刘志诚笑称,虽然是临时组建的团队,且临近年底,大家工作比较繁忙,但大家仍利用业余时间,积极参与项目,根据自己的专长,在擅长的领域内分工合作,输出了真知灼见,为整个项目添光添彩,从而使整个项目的进展非常顺利。
刘志诚表示,云原生作为数字化转型技术基础体系,对安全行业具有巨大的挑战,如何在云原生技术体系上创新和落实信息安全,如何在数字化转型中落实数据安全,业务安全,实现安全行业的创新和发展,希望在后续的项目中进一步与专家碰撞和探讨。
如何获取这份资料?
目前,诸子云第一季至第三季的所有项目成果,均已上传至诸子云星球。随着百家智库第一期“诸子项目”的展开,所有项目成果也将陆续上传。除此之外,知识星球中还存有大量行业前沿报告等资料。现在加入诸子云知识星球,便可提前下载,领先他人一步,纵览全局,占据竞争高地。
诸子云星球“矿产资源”(标签)主要包括:
►#项目:诸子云会员协作项目成果;
►#活动:诸子云相关活动议题材料;
►#报告:安在发布及诸子云相关调查报告;
►#资料:相关群里分发的各类有价值资料;
►#话题:会员群话题讨论的分类整理;
►#讲堂:直播相关,课件、补充材料等;
►#社群:社群管理相关,介绍、月报等;
►#厂商:厂商可以在此标签下发布介绍、解决方案、案例等材料。
除上述“矿产资源”,加入诸子云星球,还可获得如下福利:
1.参加“安在讲堂”精品课程折扣;
2.购买安在出品包括调查报告、征文文集在内各类知识商品的优惠;
3.优先参加安在组织的各类线下活动。
另外,本星球已开通“分享有赏”,20%分享奖励,以当前价格计,您只需引荐5位付费新星友,您就完全赚回“门票”支出了。
本期项目一览
百家智库 | 诸子项目:13个项目发布招募并实施
百家智库 | 项目:关于安全需求与安全设计活动执行情况的调研
过往项目荐读