TTAF 057-2020 移动智能终端应用软件SDK安全技术要求

ICS 33.050 M 30 移动智能终端应用软件 SDK安全技术要求 Security Technical Requirements of Software Development Kit for Applications on Smart Mobile Terminal 2020-04-09发布 2020- 04-09实施电信终端产业协会发布团体标准 T/TAF 057-2020 T/TAF 057-2020 I 目次目次 ................................ ................................ ................. I 前言 ................................ ................................ ................ II 移动智能终端应用软件 SDK安全技术要求 ................................ ................. 1 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语、定义和缩略语 ................................ ................................ . 1 3.1 术语和定义 ................................ ................................ ..... 1 3.2 缩略语 ................................ ................................ ......... 3 4 移动智能终端应用软件 SDK简介 ................................ ....................... 3 4.1 移动智能终端应用软件 SDK基本情况 ................................ ............... 3 4.2 移动智能终端应用软件与 SDK角色关系 ................................ ............. 4 5 移动智能终端应用软件 SDK安全技术要求 ................................ ............... 4 5.1 安全集成要求 ................................ ................................ ... 4 5.2 权限申请使用要求 ................................ ............................... 5 5.3 代码安全要求 ................................ ................................ ... 5 5.4 行为安全要求 ................................ ................................ ... 5 5.5 传输安全要求 ................................ ................................ ... 5 5.6 日志安全要求 ................................ ................................ ... 6 5.7 存储安全要求 ................................ ................................ ... 6 5.8 个人信息收集使用要求 ................................ ........................... 6 附录 A ................................ ................................ ............... 8 附录 B ................................ ................................ ............... 9 参考文献 ................................ ................................ ............ 10 T/TAF 057-2020 II 前言本标准按照 GB/T 1.1 -2009给出的规则编写。本标准由电信终端产业协会提出并归口。本标准起草单位：中国信息通信研究院、维沃移动通信有限公司、阿里巴巴 (中国)有限公司、北京三星通信技术研究有限公司本标准主要起草人：王宇晓、周飞、王江胜、王艳红、武林娜、杜云、陈鑫爱、焦四辈、宁华、白晓媛、吴春雨T/TAF 057-2020 1 移动智能终端应用软件 SDK安全技术要求 1 范围本标准规定了移动智能终端应用软件 SDK的安全技术要求。本标准适用于在移动智能终端应用软件上集成使用的 SDK，移动智能终端应用软件包括预置应用软件以及通过其他途径安装的可集成使用 SDK的应用软件。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 信息安全技术术语 YD/T 2407 移动智能终端安全能力技术要求 YD/T 3228 移动应用软件安全评估方法 GB/T 34978 信息安全技术移动智能终端个人信息保护技术要求 YD/T 3082 移动智能终端上的个人信息保护技术要求 3 术语、定义和缩略语 3.1 术语和定义 GB/T 25069中界定的以及下列术语和定义适用于本文件。 3.1.1 移动智能终端 Smart Mobile Terminal 移动智能终端是指接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。 3.1.2 移动智能终端操作系统 Operator System of Smart Mobile Terminal 移动智能终端最基本的系统软件，它控制和管理移动智能终端各种硬件和软件资源，并提供应用程序开发接口。 3.1.3 移动智能终端应用软件 Mobile Application 移动智能终端应用软件（以下简称 “应用软件” ）是指移动智能终端预置以及通过网站、应用商店、扫二维码、应用自身、其他线上线下平台或渠道下载、安装、升级、卸载的应用软件。 3.1.4 移动智能终端应用软件分发服务 Mobile Application Distribution Service T/TAF 057-2020 2 移动智能终端应用软件分发服务是指为用户提供应用软件下载、安装、升级、卸载及其他辅助应用软件分发相关的服务。 --包括移动应用商店、社交软件、浏览器等提供应用软件下载、安装、升级、卸载及其他辅助应用软件分发相关的服务。 3.1.5 移动智能终端预置应用软件 Pre-installed Application of Smart Terminal 移动智能终端预置应用软件是指由生产企业自行或与互联网信息服务提供者合作在移动智能终端出厂前安装的应用软件，以及终端生产企业官方在线系统升级时新增加的应用软件。 3.1.6 互联网信息服务提供者 InternetServiceProvider 互联网信息服务提供者是指提供互联网服务的公司 3.1.7 软件开发工具包 SDK 软件开发工具包为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的集合 3.1.8 应用编程接口 API 预先定义的函数，提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力 3.1.9 危险权限 Dangerous Permission 危险权限是指Google定义需用户同意的运行时权限，涵盖应用需要涉及用户隐私信息的数据或资源，或者可能对用户存储的数据或其他应用的操作产生影响的区域 3.1.10 闭源 Closed Source 闭源指被用于任何没有资格作为开源许可术语的程序。一般的情况下，将仅能获得它们许可的计算机程序的一个二进制版本，而没有这个程序的源代码。 3.1.11