移动互联网应用程序SDK安全规范（编制说明）.docxVIP

 1、标准范围 本文件规定了移动互联网程序（App）软件开发工具包（SDK）的开发、运营中的安全要求，并描述了满足这些安全要求的证实方法。 本文件适用于移动互联网应用程序SDK安全测评工作，为相关机构强化测评能力、健全技术手段提供指引，为SDK提供者提升其产品安全水平提供参考。 2、工作简况 本标准制定的主要工作过程如下： 1）2021年6月，成立标准起草组，研讨确定标准名称为《移动互联网应用程序SDK安全测评规范》。 2）2021年6月至8月间，组织起草组内部专家研讨交流，起草形成标准草案，并将草案提交中国互联网协会进行专家评审。 3）2021年9月10日，标准通过专家评审，在中国互联网协会正式立项。 4）2021年9月至10月间，标准起草组召开内部会议，对评审专家提出的修改建议进行落实完善，形成标准草案修订稿。 5）2021年11月4日，在中国互联网协会指导下，由中国信息通信研究院牵头组织召开了互联网协会会员单位范围内标准立项专家意见研讨会，与会专家对标准修订稿及立项专家意见进行研讨，并提出修改建议。会后，标准起草组对修改建议进行逐一落实，形成标准征求意见稿。 3、标准编制原则和确定标准主要内容的依据 本标准编制立足于移动互联网应用程序SDK安全发展现状，遵循科学、合理、系统、适用的原则，注重实用性、易读性、可操作性。国内在移动端安全测评领域已形成一定标准体系和实践积累，如国标《信息技术 智能移动终端应用软件（APP）技术要求》（GB/T 37729-2019）、《信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》（GB/T 34975-2017）、行标《移动应用软件安全评估方法》（YD/T 3228-2017）、《移动互联网应用程序安全加固能力评估要求与测试方法》（YD/T 3474-2019）、《移动终端应用开发安全能力评估方法》（YD/T 3481-2019）等。在SDK安全方面，国家标准《信息安全技术 移动互联网应用程序（APP）SDK安全指南》已进入征求意见阶段，本标准参考移动安全领域相关标准，给出了移动互联网程序（App）软件开发工具包（SDK）的开发、运营中应遵循的安全要求，针对移动互联网程序SDK存在的典型安全风险提出相应检测方法与评估准则。适用于移动互联网应用程序SDK安全测评，也可为SDK提供者提升其产品安全水平提供参考。 4、主要试验（或验证）的分析、综述报告 无。 5、标准在起草过程中遇到的问题及解决办法：重大分歧意见的处理经过和依据：有无重要技术问题需要说明 本标准在起草过程中未遇到重大分歧意见，无重要技术问题需要说明。 6、与国外标准的关系：包括：采用国际标准和国外先进标准的程度，与国外标准主要技术内容的差异（可引用标准前言的内容） 无。 7、修订标准时，说明与标准前一版本的重大技术变化，并列出所涉及的新、旧版本的有关章条（可引用标准前言的内容）：废止/代替现行有关标准的建议 不涉及。 8、说明标准与其他标准或文件的关系（可引用标准前言的内容），特别是与有关的现行法律、法规和强制性国家标准的关系 本标准与现行法律、法规、强制性国家标准及相关标准协调一致。本标准在同国家标准《信息安全技术 移动互联网应用程序（APP）SDK安全指南》、《移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》协调一致基础上，提出了移动互联网程序（App）软件开发工具包（SDK）的开发、运营中的安全要求和测试方法。 9、标准作为强制性标准或推荐性标准的建议 建议作为推荐性标准使用。 10、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）：标准发布后，对国内外业界可能产生的影响 本标准的制定和发布，能够为SDK安全测评提供参考标准，推动建立标准化的SDK安全检测流程与检测环境，提高行业SDK安全检测工作准确性、高效性、权威性，帮助SDK开发者、使用者预先发现SDK自身存在的安全问题，提早部署防范措，推动移动互联网行业健康有序发展。 11、标准是否涉及知识产权的情况说明；如标准中含有自主知识产权，说明产品研发程度、产业化基础及进程 不涉及。 12、其他应予说明的事项 无。 《移动互联网应用程序SDK安全规范》 标准编制说明 《移动互联网应用程序SDK安全规范》标准起草组 2021年11月4日 《移动互联网应用程序SDK安全规范》 标准编制说明 《移动互联网应用程序SDK安全规范》标准起草组 2021年11月4日