背景介绍

APP安全合规的监管机构：APP违法违规收集使用个人信息治理工作组(APP治理小组)、工业和信息化部信息通讯管理局(工信部)、国家移动互联网应用安全管理中心(病毒中心)、地方通信局、地方网安。

具体执行APP合规检测和产出报告的是和网安合作的公安部三所下面的一个实验室，简称叫公计检，全称是：公安部计算机信息系统安全产品质量监督检验中心。

对APP的安全合规检测主要还是通过采购第三方的APP漏洞扫描工具（目前第三方漏洞扫描产品有：爱加密、梆梆、网易、几维、360等）APP扫描，然后出详细报告，在通过扫描得出的报告进行做对应的应对方案。

安卓安全合规的违规处理方式：通告--->罚款--->应用下架--->停业整顿。

App安全合规目前主要采用的是通告手段，虽然不会造成经济损失，但是会给公司带来一定的经营风险。

安卓合规为什么会比苹果更严峻？

安卓应用的安全合规面临主要问题？

（以下只是列出APP安全合规面临最突出的10个问题）

个人隐私安全合规

个人隐私合规主要细分为如下的六个大方向，这也是开发APP应用需要重点关注和处理好的个人隐私合规的问题。

敏感权限合规

以下是在开发APP应用上会遇到的权限问题，那么对于这些敏感的权限，安全合规的做法就是通过采用渐进授权方式进行申请权限。

加解密算法安全合规

数据存储安全合规

APP应用安全合规需要关注问题

在开发并上架APP项目时需要重点关注：程序自身保护安全、运行环境安全、身份认证安全、数据存储安全、内部组件安全、恶意攻击安全这六大问题。

APP如何做好基础防护？

为了让我们开发的APP能过安全合规检测，我们需要重点关注如下五点，让我们的APP更加安全。

APP安全合规建设的思考

安全开发人员：熟悉负责的产品功能、了解个人 信息采集、使用和展示定制个人隐私政策，并对组员以及APP开发团队进行安全合规的要求以及做法进行做宣传以及安全合规应用和监督把控。

软件开发人员：熟悉了解APP应用客户端安全合规所涉及的技术信息，避免出现安全漏洞。

QA：根据安全合规的标准进行做验证测试，严格把控APP安全质量，守好APP应用上架的最后一道防线。

本文作者：小道安全

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/159462.html