TCSAC-移动互联网应用程序（App）接入软件开发工具包（SDK）信息安全指南.pdf

ICS35.110

CCSL79

T/CSAC

团体标准

T/CSACXXXXX—XXXX

移动互联网应用程序（App）接入软件开发

工具包（SDK）信息安全指南

Informationsecurityguidelinesforintroducingsoftwaredevelopmentkitto

applications

（征求意见稿）

2023-03-07

XXXX-XX-XX发布XXXX-XX-XX实施

中国网络空间安全协会发布

III

目次

前  言2

1范围3

2规范性引用文件3

3术语和定义3

4缩略语4

5概述5

5.1SDK概述5

5.2SDK使用场景与角色关系5

5.3App与SDK责任划分5

6SDK安全风险6

6.1SDK安全漏洞6

6.2SDK恶意行为6

6.3SDK违规处理个人信息6

7App接入SDK安全原则7

8App接入SDK安全指南7

8.1App接入SDK生命周期7

8.2设计阶段8

8.3开发阶段9

8.4运营阶段10

8.5退出阶段11

参考文献12

1

T/CSACXXXXX—XXXX

前  言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会提出并归口。

本文件起草单位：北京抖音信息服务有限公司、国家计算机网络应急技术处理协调中心北京分中

心、北京市政务信息安全保障中心、深圳市和讯华谷信息技术有限公司、郑州云智信安安全技术有限公

司。

本文件主要起草人：杜蕾、杨骁涵、安潇羽、李思凡、李昳婧、李若愚、赵乃萱、吴少卿、谷元

坤、程颖博、荣晓燕、李媛、姚菲，秦世勉，史坤坤，陈光炎，马超，彭铭。

2

移动互联网应用程序（App）接入软件开发工具包（SDK）信息安全

指南

1范围

本文件规定了App提供者和SDK提供者在App接入SDK的全生命周期内应当遵循的信息安全指南，

主要涵盖和涉及设计、开发、运营和退出四个阶段。

本文件适用于App提供者和SDK提供者对自身的信息安全防护和个人信息保护行为机制进行设计和

评估，也适用于第三方评估机构和相关部门进行审查和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本

文件。

GB/T25069信息安全技术术语

GB/T35273信息安全技术个人信息安全规范

TC260-PG-20205A网络安全标准实践指南—移动互联