作者 / Patrick Mutchler 和 Meghan Kelly, Android 安全和隐私团队

帮助 Android 应用开发者构建 "零漏洞" 的安全应用有助于推动整个生态系统的健康发展。所以,我们在 5 年前启动了应用安全改进计划,项目发展至今,收获了许多成功,也让我们更加坚定了继续投入的决心。

Android 安全改进计划介绍

当应用提交到 Google Play 商店后,我们会扫描并检查应用是否存在安全漏洞。一旦发现应用存在潜在威胁,我们会立即通知开发人员,并协助他们修复这些问题。

您可以把这整个过程想象成一次 "例行健康检查": 如果扫描未发现任何问题,应用便可进入接下来的常规测试及 Play Store 发布环节;如果检查出问题,我们便会提供诊断说明,并进行后续的修复工作。

迄今为止,安全改进计划已帮助 30 多万名开发者共修复了超过 100 万个应用。仅在 2018 年,受益的开发者就达 3 万余人,修复的应用数量总计超过 75 万。这意味着我们为用户解决了至少 75 万个安全隐患,对于我们而言确实是一场漂亮的胜仗。

计划涵盖的安全漏洞类型

应用安全改进计划涵盖了Android 应用中的各种安全威胁,小到某特定版本开发库中的安全问题 (例如 CVE-2015-5256),大到 TLS/SSL 证书验证漏洞。

我们一直在努力提升项目质量,在优化现有检查功能的同时,针对新类型安全漏洞引入更多检查项目。在 2018 年,我们为以下六类安全漏洞添加了警告:

1. SQL 注入漏洞

2. 基于文件的跨站点脚本漏洞

3. 跨应用脚本漏洞

4. 第三方证书泄露漏洞

5. 挟持漏洞

6. 接口注入漏洞

我们的首要任务是将项目继续推行下去,帮助开发者做好万全准备,以应对新的安全威胁。这同样也是我们在 2019 年的工作重点。

保障 Android 用户安全是 Google 的重要使命。我们知道安全问题通常十分棘手,开发者在编写应用的过程中也难免会犯错。我们希望这个项目能在未来几年内不断发展,助力全球开发者为用户带去值得信赖的应用。

 

声明:本文来自谷歌开发者,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。