安言解读《App生命周期安全管理指南》

来源：    发布日期：2022.02.18   点击量：

一、概述

《信息安全技术 移动互联网应用程序（App）生命周期安全管理指南（征求意见稿）》（以下简称《指南》）提供了移动互联网应用程序（App）生命周期安全管理的建议。适用于App开发者对App的开发、运营，也适于移动应用分发平台厂商和移动智能终端厂商对App的管理，同时也可以作为第三方机构对App进行安全检测时的参考。

二、《指南》作用
(一)规避开发过程中引入的恶意代码攻击、安全漏洞等风险；
(二)规避应用程序管理不当造成的个人隐私和敏感数据泄露等安全事件；
(三)及时发现并修正侵害用户权益的行为，如私自收集个人信息、强制用户使用定向
推送功能等；

(四)降低安全漏洞信息传播而产生危害的风险。

三、不同角色及安全建议 

《指南》涉及的不同角色和对应的安全建议包括App开发时的自身安全和生命周期管理时的协同安全两个方面。其中，开发者在开发App时，宜参考App的程序安全和安全保障相关的建议。而对于App生命周期不同阶段的安全管理，则由开发者、移动应用分发平台厂商和移动智能终端厂商协同实现。

四、关注点
(一)App安全风险主要分类
App自身可能会面临被恶意程序攻击的风险；
当App存在侵害用户权益的问题时，会面临被通报或者下架的风险；

App存在的安全漏洞可能会被攻击者利用的风险，影响App的正确运行。

(二)App生命周期安全保证框架

《指南》将App生命周期安全保证框架分为App生命周期过程和风险监测处置过程两大部分。其中在App生命周期过程中，各阶段开展不同的管理或技术活动，应对可能出现的风险，降低出现风险的可能性；

在风险监测处置过程中，通过采集生命周期过程中部分阶段的行为数据，进行风险分析和特征运营，从而判定App是否存在侵害用户权益风险，最终进行风险处置，降低App被通报或者下架的可能性；通过采取措施防范安全漏洞信息的泄露，防止安全漏洞信息传播而产生危害，降低App面临安全漏洞被利用的可能性。

(三)App生命周期的七阶段：
需求分析阶段，开发者对需求分析及评审、安全质量保证进行全面、必要的评估。
开发设计阶段，开发者需要对方案设计、方案评审、代码管理、变更控制进行把控。
测试验证阶段，开发者需要对安全测试、安全验证、安全交付充分把控。
上架发布阶段，移动应用分发平台厂商对开发者进行身份资质和信誉管理、上架审核、App管理、整改监督。 
安装运行阶段，开发者、移动智能终端厂商、应用分发平台协同进行App安全管理。
更新维护阶段，开发者和应用分发平台协同进行App安全管理。

终止运营阶段，开发者、应用分发平台和移动智能终端协同进行App安全管理。

(四)其他协同方面

在进行App生命周期管理的同时，需要并行对以下内容管控：安全制度、人员管理、文档管理、内容管理、漏洞管理、业务数据管理、个人信息管理。

(五)风险检测处置过程管理

开发者在进行采集、运营、处理App生命周期中的行为数据，判定并处理行为风险时，应依据《指南》要求开展相应的活动。

(六)安全漏洞风险管理

App开发者或App运营者在进行人工或者自动化方法进行漏洞的探测、分析、验证、处理跟踪时，应依照《指南》要求进行。

五、总结
当下各类App已经深入我们的日常工作和生活中，伴随着一系列相关安全的法律法规不断推出，App的开发、使用和管理也必将日趋规范化。对此，安言建议企业在App合规方面应当持续关注国家和行业推出的各类要求 ，做好App生命周期安全管理，防范App因安全漏洞等造成的用户权益受损的行为，降低企业自身和对外服务过程的App安全合规风险。

相关新闻：