通付盾北斗團(tuán)隊(duì)

　　通付盾北斗團(tuán)隊(duì)(負(fù)責(zé)安全合規(guī)產(chǎn)品)于2013年成立，10年來(lái)專注于移動(dòng)應(yīng)用全生命周期的安全研究，積累了豐富的移動(dòng)應(yīng)用安全實(shí)戰(zhàn)經(jīng)驗(yàn)，不斷保持技術(shù)研發(fā)與創(chuàng)新，致力于為企業(yè)提供移動(dòng)應(yīng)用全生命周期安全工程解決方案。自研了符號(hào)執(zhí)行、動(dòng)態(tài)沙箱、大數(shù)據(jù)分析、VMP虛擬機(jī)保護(hù)、iPA動(dòng)態(tài)殼保護(hù)等多個(gè)核心技術(shù)。團(tuán)隊(duì)所研發(fā)產(chǎn)品已服務(wù)于上千家各行業(yè)客戶，深入到政府、軍工、能源、金融、運(yùn)營(yíng)商、教育、醫(yī)療、傳媒、交通、互聯(lián)網(wǎng)等行業(yè)，為數(shù)十億級(jí)移動(dòng)終端提供了移動(dòng)應(yīng)用安全保障。其中移動(dòng)應(yīng)用安全合規(guī)檢測(cè)成功服務(wù)國(guó)測(cè)、軍測(cè)、公安和工信部，實(shí)現(xiàn)國(guó)家級(jí)測(cè)評(píng)機(jī)構(gòu)全覆蓋。

　　通付盾北斗團(tuán)隊(duì)的理念：“技術(shù)、安全、創(chuàng)新”。

　　前言

　　黨的二十大報(bào)告提出，要“加快建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)”。當(dāng)前，以數(shù)字經(jīng)濟(jì)為代表的新經(jīng)濟(jì)成為經(jīng)濟(jì)增長(zhǎng)新引擎。作為數(shù)字經(jīng)濟(jì)時(shí)代最核心生產(chǎn)要素的數(shù)據(jù)呈爆炸式增長(zhǎng)，體現(xiàn)其基礎(chǔ)戰(zhàn)略資源的地位，數(shù)據(jù)安全的基礎(chǔ)保障作用日益凸顯。而APP作為移動(dòng)網(wǎng)絡(luò)中數(shù)據(jù)的載體，其承載的數(shù)據(jù)對(duì)維護(hù)國(guó)家安全、企業(yè)安全及個(gè)人隱私，乃至數(shù)據(jù)合規(guī)都提出了更高要求。

　　在2023年1月11日的全國(guó)工業(yè)和信息化工作會(huì)議上提及，2023年的工作重點(diǎn)上，將完善電信業(yè)務(wù)市場(chǎng)發(fā)展政策，強(qiáng)化APP全流程、全鏈條治理，加強(qiáng)個(gè)人信息保護(hù)、用戶權(quán)益保護(hù)。增強(qiáng)網(wǎng)絡(luò)和數(shù)據(jù)安全保障能力，加快安全產(chǎn)業(yè)創(chuàng)新發(fā)展。

　　本白皮書(或本報(bào)告)以《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等法律陸續(xù)施行背景下編制，從個(gè)人隱私信息安全和APP安全為切入點(diǎn)，梳理了當(dāng)下APP安全發(fā)展面臨的挑戰(zhàn)與機(jī)遇，綜合分析APP安全的當(dāng)前態(tài)勢(shì)及后期發(fā)展趨勢(shì)，結(jié)合區(qū)塊鏈分布式數(shù)字身份技術(shù)，尋找APP治理方向與策略，探索移動(dòng)安全可持續(xù)發(fā)展道路。

　　本白皮書旨在幫助打造集開發(fā)測(cè)試、發(fā)布、運(yùn)行、運(yùn)營(yíng)全鏈路保障APP安全的移動(dòng)合規(guī)應(yīng)用發(fā)布平臺(tái)，對(duì)存在中高風(fēng)險(xiǎn)漏洞和隱私違規(guī)問題的應(yīng)用在上架前及時(shí)阻斷，結(jié)合區(qū)塊鏈分布式數(shù)字身份技術(shù)為平臺(tái)上架APP頒發(fā)在鏈上的數(shù)字身份憑證，對(duì)盜版、仿冒等應(yīng)用進(jìn)行定期安全監(jiān)測(cè)和風(fēng)險(xiǎn)識(shí)別。

　　正文：

　　一、APP安全現(xiàn)狀概述

　　黨的二十大報(bào)告提出，要“加快建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)”。當(dāng)前，以數(shù)字經(jīng)濟(jì)為代表的新經(jīng)濟(jì)成為經(jīng)濟(jì)增長(zhǎng)新引擎。數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)時(shí)代最核心生產(chǎn)要素呈爆炸式增長(zhǎng)，體現(xiàn)其基礎(chǔ)戰(zhàn)略資源的地位，數(shù)據(jù)安全的基礎(chǔ)保障作用日益凸顯。而APP作為移動(dòng)網(wǎng)絡(luò)中數(shù)據(jù)的載體，其承載的數(shù)據(jù)對(duì)維護(hù)國(guó)家安全、企業(yè)安全及個(gè)人隱私，乃至數(shù)據(jù)合規(guī)都提出了更高要求。

　　1.1APP安全現(xiàn)狀

　　在手機(jī)APP的日常使用中，可以最直觀地感受到個(gè)人信息保護(hù)的水平。在日常網(wǎng)絡(luò)社區(qū)瀏覽、游戲以及購(gòu)物時(shí)，是否頻繁彈窗提醒，在申請(qǐng)獲取位置、設(shè)備信息等權(quán)限前是否告知使用目的，隱私政策更新是否有提醒……

　　2022年以來(lái)，工業(yè)和信息化部持續(xù)開展APP侵害用戶權(quán)益“回頭看”專項(xiàng)整治行動(dòng)，先后6批次對(duì)存在違規(guī)推送彈窗信息、APP過度索取權(quán)限、移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)及第三方軟件開發(fā)工具包(SDK)信息收集不規(guī)范等問題進(jìn)行重點(diǎn)抽測(cè)，共累計(jì)發(fā)現(xiàn)約791款A(yù)PP存在問題，并對(duì)202款逾期不整改或整改不到位的予以通報(bào)。

　　近年來(lái)，在國(guó)家相關(guān)部門的APP治理強(qiáng)監(jiān)管下，頭部APP的隱私信息安全不斷提高，但是尾部APP因?yàn)楹弦?guī)成本等問題，在個(gè)人信息保護(hù)方面的動(dòng)力不足，依然與頭部APP存在較大差距。尾部APP的個(gè)人信息安全保護(hù)工作，仍需加大治理力度，從而提升APP整體的個(gè)人信息保護(hù)水平。

　　1.2年度相關(guān)政策法規(guī)

　　自2021年11月1日《個(gè)人信息保護(hù)法》正式施行以來(lái)，關(guān)于網(wǎng)絡(luò)安全的相關(guān)政策法規(guī)相繼出臺(tái)。

　　2022年1月，國(guó)務(wù)院《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》，部署了八項(xiàng)重點(diǎn)任務(wù)，在數(shù)字經(jīng)濟(jì)安全體系方面，提出了三個(gè)方向的要求，一是增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力、二是提升數(shù)據(jù)安全保障水平、三是切實(shí)有效防范各類風(fēng)險(xiǎn)，系統(tǒng)闡述了網(wǎng)絡(luò)安全對(duì)于數(shù)字經(jīng)濟(jì)的獨(dú)特作用及重要性。

　　2022年4月26日，工業(yè)和信息化部發(fā)布《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定(征求意見稿)》?！墩髑笠庖姼濉穼?duì)APP開發(fā)運(yùn)營(yíng)者、APP分發(fā)平臺(tái)、APP第三方服務(wù)提供者、移動(dòng)智能終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者提出了一系列在個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸過程中的相應(yīng)要求，同時(shí)也明確了相應(yīng)的整改期限和責(zé)任。

　　2022年5月26日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《信息安全技術(shù)互聯(lián)網(wǎng)平臺(tái)及產(chǎn)品服務(wù)隱私協(xié)議要求》的征求意見稿。該要求規(guī)定了互聯(lián)網(wǎng)平臺(tái)及產(chǎn)品服務(wù)隱私協(xié)議編制程序、具體內(nèi)容、發(fā)布形式，增加隱私協(xié)議的可讀性、透明性，以及處理隱私協(xié)議相關(guān)的爭(zhēng)議糾紛等方面的要求。

　　2022年9月14日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于公開征求《關(guān)于修改〈中華人民共和國(guó)網(wǎng)絡(luò)安全法〉的決定(征求意見稿)》意見的通知。擬調(diào)整違反網(wǎng)絡(luò)運(yùn)行安全保護(hù)義務(wù)等行為的行政處罰種類和幅度，完善相關(guān)法律責(zé)任制度。數(shù)據(jù)安全法、個(gè)人信息保護(hù)法與網(wǎng)絡(luò)安全法構(gòu)成我國(guó)網(wǎng)絡(luò)法律體系的“三駕馬車”，共同保障公民的個(gè)人信息安全。

　　在2023年1月11日的全國(guó)工業(yè)和信息化工作會(huì)議上提及，2023年的工作重點(diǎn)為完善電信業(yè)務(wù)市場(chǎng)發(fā)展政策，強(qiáng)化APP全流程、全鏈條治理，加強(qiáng)個(gè)人信息保護(hù)、用戶權(quán)益保護(hù)。增強(qiáng)網(wǎng)絡(luò)和數(shù)據(jù)安全保障能力，加快安全產(chǎn)業(yè)創(chuàng)新發(fā)展。

　　APP安全合規(guī)檢測(cè)概述

　　依據(jù)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等相關(guān)相關(guān)法律法規(guī)，通過檢測(cè)目的、檢測(cè)對(duì)象、檢測(cè)方法以及檢測(cè)內(nèi)容四個(gè)層面對(duì)APP安全檢測(cè)的具體實(shí)施方案進(jìn)行闡述。

　　2.1檢測(cè)目的

　　以用戶信息安全和APP安全為切入點(diǎn)，從隱私政策、權(quán)限申請(qǐng)、權(quán)限收集、權(quán)限使用、APP漏洞安全等方面進(jìn)行檢測(cè)，檢測(cè)APP中存在的違規(guī)問題及安全漏洞。

　　法律依據(jù)如下：

　　《中華人民共和國(guó)個(gè)人信息保護(hù)法》

　　《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

　　《中華人民共和國(guó)數(shù)據(jù)安全法》

　　其他參考的國(guó)家標(biāo)準(zhǔn)、指南、團(tuán)體標(biāo)準(zhǔn)包括：

　　《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》

　　GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》

　　《APP違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》

　　《APP違法違規(guī)收集使用個(gè)人信息治理評(píng)估要點(diǎn)》

　　GB/T41391-2022《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)個(gè)人信息安全測(cè)評(píng)規(guī)范》

　　《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)中的第三方軟件開發(fā)工具包(SDK)安全指引》

　　《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》

　　《移動(dòng)APP安全檢測(cè)基準(zhǔn)》等

　　2.2檢測(cè)對(duì)象

　　抽調(diào)了各大移動(dòng)應(yīng)用市場(chǎng)各類型活躍度前200的安卓應(yīng)用共計(jì)約8607款進(jìn)行安全合規(guī)檢測(cè)。類別囊括了地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時(shí)通訊、新聞資訊、網(wǎng)絡(luò)支付、在線購(gòu)物等共計(jì)39個(gè)類別。

　　2.3檢測(cè)流程

　　APP安全合規(guī)檢測(cè)基于動(dòng)靜雙引擎檢測(cè)技術(shù)，利用靜態(tài)代碼分析引擎和動(dòng)態(tài)沙箱監(jiān)測(cè)引擎，對(duì)移動(dòng)應(yīng)用潛在安全合規(guī)問題進(jìn)行全面、深度的檢測(cè)。通過插樁技術(shù)進(jìn)行動(dòng)態(tài)行為捕獲，將行為內(nèi)容傳遞到后臺(tái)進(jìn)行處理分析，有效應(yīng)對(duì)不同APP、不同場(chǎng)景的用戶個(gè)人信息最小化采集風(fēng)險(xiǎn)監(jiān)測(cè)需求。通過代碼分析引擎對(duì)應(yīng)用中集成的第三方SDK進(jìn)行檢測(cè)分析，解析SDK列表，并將各SDK的權(quán)限申請(qǐng)及動(dòng)態(tài)調(diào)用狀況、風(fēng)險(xiǎn)漏洞情況、敏感數(shù)據(jù)存儲(chǔ)情況等信息進(jìn)行歸類，明確問題源頭。通過網(wǎng)絡(luò)捕獲技術(shù)，進(jìn)行網(wǎng)絡(luò)流量捕獲記錄，并根據(jù)流量數(shù)據(jù)識(shí)別并提取相應(yīng)的資產(chǎn)信息，分析數(shù)據(jù)流，監(jiān)測(cè)違規(guī)數(shù)據(jù)的收集和共享。

　　2.4檢測(cè)內(nèi)容

　　1、APP隱私違規(guī)檢測(cè)內(nèi)容：

　　(1)檢測(cè)是否存在未公開收集使用規(guī)則問題；

　　(2)檢測(cè)是否存在未明示收集使用個(gè)人信息的目的、方式和范圍問題；

　　(3)檢測(cè)是否存在未經(jīng)用戶同意收集使用個(gè)人信息問題；

　　(4)檢測(cè)是否存在違反必要原則，收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息問題；

　　(5)檢測(cè)是否存在未經(jīng)同意向他人提供個(gè)人信息問題；

　　(6)檢測(cè)是否存在未按法律規(guī)定提供刪除或更正個(gè)人信息功能或未公布投訴、舉報(bào)方式等信息問題；

　　2、APP漏洞風(fēng)險(xiǎn)檢測(cè)內(nèi)容：

　　(1)檢測(cè)是否存在編碼規(guī)范安全問題；

　　(2)檢測(cè)是否存在代碼安全問題；

　　(3)檢測(cè)是否存在數(shù)據(jù)安全問題；

　　(4)檢測(cè)是否存在常見安全漏洞；

　　(5)檢測(cè)是否存在發(fā)布規(guī)范安全問題；

　　APP安全合規(guī)檢測(cè)結(jié)果及分析

　　3.1APP隱私違規(guī)檢測(cè)

　　3.1.1個(gè)人信息收集合規(guī)情況

　　依據(jù)《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《個(gè)人信息保護(hù)法》及其他相關(guān)政策法規(guī)，從“未公開收集使用規(guī)則”“未明示收集使用個(gè)人信息的目的、方式和范圍”“未經(jīng)用戶同意收集使用個(gè)人信息”“違反必要原則，收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息”“未經(jīng)同意向他人提供個(gè)人信息”“未按法律規(guī)定提供刪除或更正個(gè)人信息功能或未公布投訴、舉報(bào)方式等信息”這6個(gè)層面過對(duì)這8607款應(yīng)用進(jìn)行抽調(diào)檢測(cè)。

　　經(jīng)檢測(cè)發(fā)現(xiàn)，其中存在“未明示收集使用個(gè)人信息的目的、方式和范圍”占比最高，達(dá)62.7%；其次是“未經(jīng)用戶同意收集使用個(gè)人信息”占52%。

　　3.1.2常見違規(guī)收集個(gè)人信息分析

　　1.未經(jīng)用戶同意收集使用個(gè)人信息

　　在存在未經(jīng)用戶同意收集使用個(gè)人信息方面問題的APP中，主要存在的問題包括：

　　APP隱私政策等收集使用規(guī)則是否難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡(jiǎn)體中文版等。如下圖所示APP中的閱讀政策即存在文字過小，難以閱讀的問題。

　　APP隱私政策需要對(duì)APP運(yùn)營(yíng)者基本情況進(jìn)行描述，至少包括組織或公司名稱、注冊(cè)地址或常用辦公地址、個(gè)人信息保護(hù)工作機(jī)構(gòu)或相關(guān)負(fù)責(zé)人聯(lián)系方式。如下圖所示APP中即存在未對(duì)APP運(yùn)營(yíng)者組織或公司名稱、注冊(cè)地址或常用辦公地址等進(jìn)行描述的問題。

　　2.未明示收集使用個(gè)人信息的目的、方式和范圍

　　在未明示收集使用個(gè)人信息的目的、方式和范圍方面問題的APP中，主要存在的問題包括：

　　APP未逐一列出APP(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個(gè)人信息的目的、方式、范圍等等。如下圖所示APP中，極光SDK在描述其所采集的個(gè)人信息(左圖)時(shí)與實(shí)際收集情況(右圖)有缺失，少了收集獲取位置信息等的相關(guān)說明。

　　APP在申請(qǐng)打開可收集個(gè)人信息的權(quán)限，或申請(qǐng)收集用戶身份證號(hào)、銀行賬號(hào)、行蹤軌跡等個(gè)人敏感信息時(shí)，是否同步告知用戶其目的，或者目的不明確、難以理解。如下圖所示APP中，在申請(qǐng)獲取位置、設(shè)備等信息前未告知用戶其目的。

　　3.未經(jīng)用戶同意收集使用個(gè)人信息

　　在未經(jīng)用戶同意收集使用個(gè)人信息方面問題的APP中，主要存在的問題包括：

　　APP以默認(rèn)選擇同意隱私政策等非明示方式征求用戶同意。如下圖所示APP中，在登錄時(shí)以默認(rèn)選擇同意隱私政策的方式征求用戶同意。

　　APP未向用戶提供撤回同意收集個(gè)人信息的途徑、方式。如下圖所示APP中，在隱私政策及APP中均未提供撤回同意收集個(gè)人信息的途徑、方式。

　　4.違反必要原則，收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息

　　在違反必要原則，收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息方面問題的APP中，主要存在的問題包括：

　　APP收集的個(gè)人信息類型或打開的可收集個(gè)人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無(wú)關(guān)。如下圖所示APP中，在登錄操作時(shí)要求獲取與當(dāng)前登錄服務(wù)無(wú)關(guān)的位置權(quán)限。

　　因用戶不同意收集非必要個(gè)人信息或打開非必要權(quán)限，拒絕提供業(yè)務(wù)功能。如下圖所示APP中，在用戶不同意打開攝像頭權(quán)限后，拒絕提供如上傳本地圖片作為頭像業(yè)務(wù)。

　　5.未按法律規(guī)定提供刪除或更正個(gè)人信息功能或未公布投訴、舉報(bào)方式等信息

　　在未按法律規(guī)定提供刪除或更正個(gè)人信息功能或未公布投訴、舉報(bào)方式等信息息方面問題的APP中，主要存在的問題包括：

　　更正、刪除個(gè)人信息或注銷用戶賬號(hào)等用戶操作已執(zhí)行完畢，但APP后臺(tái)并未完成的。如下圖所示APP中，注銷賬戶完畢后用戶手機(jī)號(hào)等信息未立即同步刪除。

　　雖提供了更正、刪除個(gè)人信息及注銷用戶賬號(hào)功能，但未及時(shí)響應(yīng)用戶相應(yīng)操作，需人工處理的，未在承諾時(shí)限內(nèi)完成核查和處理。如下圖所示APP中，承諾期限超過了規(guī)定要求的最高15個(gè)工作日。

　　3.2APP風(fēng)險(xiǎn)漏洞檢測(cè)

　　使用代碼反編譯技術(shù)，進(jìn)行代碼層的應(yīng)用安全檢測(cè)，從編碼規(guī)范、發(fā)布規(guī)范、代碼安全、環(huán)境安全、組件安全、數(shù)據(jù)安全和安全漏洞7各層面，分析應(yīng)用存在的漏洞風(fēng)險(xiǎn)，共采集應(yīng)用安全風(fēng)險(xiǎn)80余項(xiàng)。

　　3.2.1編碼規(guī)范檢測(cè)情況

　　3.2.2代碼安全檢測(cè)情況

　　3.2.3數(shù)據(jù)安全檢測(cè)情況

　　3.2.4常見安全漏洞檢測(cè)情況

　　3.2.5發(fā)布規(guī)范檢測(cè)情況

　　治理展望

　　針對(duì)目前的APP安全現(xiàn)狀，我們發(fā)現(xiàn)基于片面的APP安全防護(hù)甚至忽視安全防護(hù)無(wú)法達(dá)到有效的APP治理效果，有必要從APP全生命周期的角度出發(fā)，打造一套集開發(fā)測(cè)試、發(fā)布、運(yùn)行、運(yùn)營(yíng)環(huán)節(jié)于一體的APP合規(guī)應(yīng)用發(fā)布平臺(tái)。

　　APP合規(guī)應(yīng)用發(fā)布平臺(tái)的實(shí)現(xiàn)總體可以分為兩個(gè)子平臺(tái)，將面向終端用戶的業(yè)務(wù)平臺(tái)和開發(fā)者平臺(tái)分開。業(yè)務(wù)平臺(tái)包括：合規(guī)應(yīng)用展示下載、實(shí)時(shí)行業(yè)資訊和業(yè)務(wù)管理等；開發(fā)者平臺(tái)包括：業(yè)務(wù)模塊和引擎組件兩部分。業(yè)務(wù)模塊包括：安全服務(wù)、數(shù)字身份憑證管理、監(jiān)測(cè)服務(wù)和定期發(fā)布盡職調(diào)查報(bào)告等功能。APP盡職調(diào)查報(bào)告深入全面透視APP市場(chǎng)數(shù)據(jù)及安全狀況，監(jiān)測(cè)300+APP分發(fā)渠道，向開發(fā)者和用戶提供便利的APP市場(chǎng)數(shù)據(jù)分析服務(wù)，包括APP在各渠道版本、下載量、評(píng)論及評(píng)分、是否存在盜版仿冒等情況，幫助開發(fā)者和用戶全面掌握APP信息。引擎組件包括：安全加固引擎、隱私檢測(cè)引擎、漏洞檢測(cè)引擎、爬蟲引擎等。

　　全流程解決方案具體如下：

　　(1)開發(fā)測(cè)試階段：提供APP安全合規(guī)檢測(cè)，包括：APP風(fēng)險(xiǎn)漏洞檢測(cè)、SDK檢測(cè)、APP權(quán)限檢測(cè)、APP隱私合規(guī)檢測(cè)等；針對(duì)存在的安全問題提供完善的解決方案，包括：APP加固、SDK加固、SO加固、H5加固、小程序加固等。

　　(2)發(fā)布階段：APP上報(bào)；APP認(rèn)證備案；一鍵式應(yīng)用發(fā)布；對(duì)待發(fā)布APP進(jìn)行風(fēng)險(xiǎn)漏洞檢測(cè)，及時(shí)阻斷存在中高風(fēng)險(xiǎn)的應(yīng)用；對(duì)檢測(cè)通過的APP頒發(fā)在鏈上的數(shù)字身份憑證。

　　(3)運(yùn)行階段：提供對(duì)上架到平臺(tái)的APP的渠道管理；方便開發(fā)者對(duì)APP進(jìn)行版本管理、發(fā)布管理操作。

　　(4)運(yùn)營(yíng)階段：定期發(fā)布APP盡職調(diào)查報(bào)告；對(duì)盜版、仿冒等應(yīng)用的定期安全監(jiān)測(cè)和風(fēng)險(xiǎn)識(shí)別，助力APP開發(fā)商后期運(yùn)營(yíng)維護(hù)。

　　在整個(gè)全鏈路的APP治理流程中，包含了對(duì)APP的安全檢測(cè)、安全加固、隱私合規(guī)檢測(cè)、應(yīng)用發(fā)布、APP上鏈、渠道監(jiān)測(cè)等眾多服務(wù)。這種APP全流程落地的治理模式，可以實(shí)現(xiàn)對(duì)APP全生命周期一站式的安全解決方案，對(duì)上架到平臺(tái)的APP做到全方位治理，營(yíng)造清朗的網(wǎng)絡(luò)環(huán)境，進(jìn)一步為各行各業(yè)進(jìn)行安全賦能。區(qū)別于傳統(tǒng)的APP發(fā)布平臺(tái)，除了將APP安全技術(shù)運(yùn)用到各個(gè)流程階段外，還規(guī)劃了APP安全合規(guī)知識(shí)專區(qū)、盡職調(diào)查報(bào)告和APP數(shù)字身份憑證三大功能。APP安全合規(guī)知識(shí)專區(qū)，定期更新行業(yè)最新安全合規(guī)相關(guān)資訊和文件，方便開發(fā)者學(xué)習(xí)提升APP安全開發(fā)能力與素養(yǎng)。APP盡職調(diào)查報(bào)告實(shí)時(shí)追蹤APP市場(chǎng)動(dòng)態(tài)，提供數(shù)據(jù)分析服務(wù)，助力開發(fā)者和用戶全面掌握APP信息和相關(guān)行業(yè)線索。APP數(shù)字身份憑證，結(jié)合區(qū)塊鏈的分布式數(shù)字身份技術(shù)，為每個(gè)通過漏洞檢測(cè)、隱私檢測(cè)等滿足合規(guī)要求的可信APP在鏈上生成一個(gè)不可篡改的，用來(lái)標(biāo)識(shí)與管理的標(biāo)識(shí)信息，構(gòu)建統(tǒng)一的應(yīng)用身份體系，為切實(shí)推動(dòng)APP全鏈路治理提供安全保障。

　　未來(lái)，在Web3.0時(shí)代，區(qū)塊鏈技術(shù)的日益成熟，為數(shù)字化轉(zhuǎn)型升級(jí)帶來(lái)全新機(jī)遇，新舊技術(shù)的交替將拓寬APP安全合規(guī)的道路。APP合規(guī)應(yīng)用發(fā)布平臺(tái)也將不斷推陳出新，平臺(tái)的發(fā)展不僅要盡量滿足當(dāng)前狀況下的移動(dòng)安全問題，對(duì)于正在演進(jìn)以及未來(lái)可能會(huì)對(duì)移動(dòng)安全產(chǎn)生影響甚至是變革的理念和技術(shù)，也要充分研究并在管理平臺(tái)接下來(lái)的發(fā)展中得以。

免責(zé)聲明：以上內(nèi)容為本網(wǎng)站轉(zhuǎn)自其它媒體，相關(guān)信息僅為傳遞更多信息之目的，不代表本網(wǎng)觀點(diǎn)，亦不代表本網(wǎng)站贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性。如稿件版權(quán)單位或個(gè)人不想在本網(wǎng)發(fā)布，可與本網(wǎng)聯(lián)系，本網(wǎng)視情況可立即將其撤除。