（正式版）-B-T 43435-2023 信息安全技术 移动互联网应用程序（App）软件开发工具包（SDK）安全要求.docxVIP

ICS35.030

CCSL80

中华人民共和国国家标准GB/T43435—2023

信息安全技术移动互联网应用程序(App)

软件开发工具包(SDK)安全要求

Informationsecuritytechnology—Securityrequirementsforsoftwaredevelopment

kit(SDK)inmobileinternetapplications(App)

2023-11-27发布

2024-06-01实施

国家市场监督管理总局国家标准化管理委员会

发布

I

GB/T43435—2023

目次

前言 Ⅲ

1范围 1

2规范性引用文件 1

3术语和定义 1

4概述 2

4.1SDK使用场景 2

4.2SDK安全风险 2

5SDK设计、开发、发布、运营、终止运营等阶段安全要求 2

5.1设计 2

5.2开发 2

5.3发布 3

5.4运营 3

5.5终止运营 3

6SDK个人信息处理安全要求 4

6.1个人信息收集 4

6.2个人信息存储 4

6.3个人信息使用和加工 4

6.4个人信息传输 5

6.5个人信息提供 5

6.6个人信息公开 5

6.7个人信息删除 5

附录A(资料性)常见SDK服务类型 6

附录B(资料性)常见SDK安全漏洞 9

附录C(资料性)常见SDK恶意行为 11

附录D(资料性)常见SDK处理个人信息安全问题 12

Ⅲ

GB/T43435—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本文件起草单位：每日互动股份有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息通信研究院、北京百度网讯科技有限公司、安徽工程大学、蚂蚁科技集团股份有限公司、华为技术有限公司、公安部第一研究所、国家计算机病毒应急处理中心、高德软件有限公司、北京快手科技有限公司、罗克佳华科技集团股份有限公司、荣耀终端有限公司、友盟同欣(北京)科技有限公司、公安部第三研究所、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、浙江省大数据联合计算中心有限公司、北京奇虎科技有限公司、北京小桔科技有限公司、小米通讯科技有限公司、OPPO广东移动通信有限公司、阿里巴巴(北京)软件服务有限公司、北京抖音信息服务有限公司、秒针信息技术有限公司、上海兆言网络科技有限公司、杭州云深科技有限公司、浙江大学、复旦大学、神策网络科技(北京)有限公司、启明星辰信息技术集团股份有限公司、北京智游网安科技有限公司、上海合合信息科技股份有限公司、华住酒店管理有限公司、上海游昆信息技术有限公司、科大讯飞股份有限公司、同盾科技有限公司、贝壳找房(北京)科技有限公司、深圳海云安网络安全技术有限公司、北京指掌易科

技有限公司、北京腾云天下科技有限公司、泰尔卓信科技(北京)有限公司。

本文件主要起草人：董霖、方毅、刘行、周程、胡影、金岩、郄世杰、樊华、田晴云、何延哲、李浩川、武林娜、常浩伦、李颖莹、韩淼淼、彭婕、邓婷、徐雨晴、安泽亮、白晓媛、衣强、韩煜、刘彦、张鑫、黄玥澎、王昕、郭变香、赵晓娜、贾紫薇、田宇轩、张艳、曹岳、林星辰、王一宇、易立、姚一楠、张娜、黄香敏、付艳艳、黄天宁、田申、李联婧、高雅、严涵、吕繁荣、尹祖勇、王秋、解伯延、汤立波、臧磊、周亚金、郑磊、李腾、魏超、张昀、王彬、沈林、余明明、史景、桑文锋、姚栋、谭成、李彪、谢朝海、落红卫、蔡欣奕、刘笑岑、张朝、葛梦莹、

刘桢。

1

GB/T43435—2023

信息安全技术移动互联网应用程序(App

软件开发工具包(SDK)安全要求

1范围

本文件规定了移动互联网应用程序(App)软件开发工具包(SDK)设计、开发、发布、运营、终止运营

等阶段和个人信息处理活动的安全要求。

本文件适用于SDK开发、运营，并供SDK安全检测和评估参考使用。

2规范性引用文件

下列文件中的