11月27日，全国信息安全标准化技术委员会正式发布《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》。

《实践指南》给出了SDK常见安全风险，针对当前App使用SDK过程中存在的SDK自身安全漏洞、SDK恶意行为、SDK违法违规收集App用户的个人信息问题，结合当前移动互联网技术及应用现状，给出了App提供者、SDK提供者针对SDK安全问题的实践指引。

SDK是SoftwareDevelopment Kit的缩写，即“软件开发工具包”。简单来说，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说，可以将某项功能交给第三方来开发以缩短周期。

据安知讯了解，具备强大功能的第三方SDK广泛应用在大量App的设计开发阶段，成为整个手机软件供应链中不可或缺的一部分。

近年来，App个人信息违规采集问题频现，企业往往将App个人信息安全问题聚焦在自身代码的开发层面，很容易忽视App中集成的第三方SDK安全问题，殊不知正是这些提供便利的第三方SDK正在背后插刀。

以下是通知全文

各有关单位：

为帮助App提供者使用SDK时防范SDK安全和合规风险，帮助SDK提供者保障SDK安全和用户个人信息，秘书处组织编制了《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》。

《实践指南》给出了SDK常见安全风险，针对当前App使用SDK过程中存在的SDK自身安全漏洞、SDK恶意行为、SDK违法违规收集App用户的个人信息问题，结合当前移动互联网技术及应用现状，给出了App提供者、SDK提供者针对SDK安全问题的实践指引。《实践指南》全文请点击附件下载。