中国信通院联合腾讯发布《软件开发包（SDK）安全研究报告（2021年）》

近年来，随着移动互联产业的兴起，移动应用软件（Application，App）逐渐渗透到社会生活的各个领域，为大众提供精细化场景化服务。在面向细分领域发展的同时，App种类和数量呈爆发式增长，软件开发工具包（Software Development Kit ，SDK）被广泛集成、应用，为日益丰富的App功能、服务提供了技术上的解决方案。

数字经济时代下，移动应用场景迅速扩展，SDK逐步成为移动业务价值拓展的重要组成部分。然而，由于SDK具有泛用性、灵活性等特点，一旦出现安全问题，不仅自身业务受到直接影响，也会威胁到集成SDK的App业务安全和数据安全，严重的情况下甚至可能影响移动应用系统生态安全。随着安全形势不断变化，SDK的安全合规问题已经进入各方视野，SDK可能存在的安全漏洞、恶意行为，以及隐藏在App背后不透明地收集使用个人信息等问题逐渐成为各方关注的焦点问题。

2021年12月21日，由中国信息通信研究院（以下简称“中国信通院”）主办的“2022中国信通院ICT⁺深度观察报告会-数据安全产业分论坛”顺利召开。会上，中国信通院安全研究所数据安全研究部主任陈湉发布了《软件开发包（SDK）安全研究报告（2021年）》。

报告由中国信通院联合深圳市腾讯计算机系统有限公司共同研究编制，从场景分析、数据统计、政策标准方面分享了SDK行业发展现状，对SDK行业面临的合规风险、安全风险进行了分析，面向SDK及App开发者提出了安全措施建议，并从实践角度分享案例和经验，为促进SDK行业生态的健康发展提供参考。

移动互联产业仍处于蓬勃发展阶段，移动应用生态安全亟需多方共同协作努力，报告不足之处欢迎批评指正。

报告目录

一、 SDK行业发展现状

(一) SDK应用广泛，行业发展持续活跃

(二) 政策标准逐步明晰，为SDK安全落地提供导向

二、 SDK的合规风险

(一) SDK收集使用个人信息的合规风险分析

(二) SDK个人信息安全合规要求的总结

三、 SDK的安全风险

(一) SDK的安全漏洞问题不容忽视

(二) SDK的恶意行为带来隐藏风险

四、 面向开发者的安全措施建议

(一) 面向SDK开发者

(二) 面向App开发者

版权声明：本报告版权属于中国信息通信研究院和深圳市腾讯计算机系统有限公司，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院和深圳市腾讯计算机系统有限公司”。违反上述声明者，编者将追究其相关法律责任。

点击左下“阅读原文”，下载报告。

校  审 | 陈  力、 珊  珊

编  辑 | 凌  霄

推荐阅读