Android 應用安全性改進: 全面助力打造 "零漏洞" 應用

做者 / Patrick Mutchler 和 Meghan Kelly, Android 安全和隱私團隊

幫助 Android 應用開發者構建 "零漏洞" 的安全應用有助於推進整個生態系統的健康發展。因此，咱們在 5 年前啓動了應用安全改進計劃，項目發展至今，收穫了許多成功，也讓咱們更加堅決了繼續投入的決心。

Android 安全改進計劃介紹

當應用提交到 Google Play 商店後，咱們會掃描並檢查應用是否存在安全漏洞。一旦發現應用存在潛在威脅，咱們會當即通知開發人員，並協助他們修復這些問題。

您能夠把這整個過程想象成一次 "例行健康檢查": 若是掃描未發現任何問題，應用即可進入接下來的常規測試及 Play Store 發佈環節；若是檢查出問題，咱們便會提供診斷說明，並進行後續的修復工做。

迄今爲止，安全改進計劃已幫助 30 多萬名開發者共修復了超過 100 萬個應用。僅在 2018 年，受益的開發者就達 3 萬餘人，修復的應用數量總計超過 75 萬。這意味着咱們爲用戶解決了至少 75 萬個安全隱患，對於咱們而言確實是一場漂亮的勝仗。

計劃涵蓋的安全漏洞類型

應用安全改進計劃涵蓋了Android 應用中的各類安全威脅，小到某特定版本開發庫中的安全問題 (例如 CVE-2015-5256)，大到 TLS/SSL 證書驗證漏洞。

咱們一直在努力提高項目質量，在優化現有檢查功能的同時，針對新類型安全漏洞引入更多檢查項目。在 2018 年，咱們爲如下六類安全漏洞添加了警告:

1. SQL 注入漏洞
2. 基於文件的跨站點腳本漏洞
3. 跨應用腳本漏洞
4. 第三方證書泄露漏洞
5. 挾持漏洞
6. 接口注入漏洞

咱們的首要任務是將項目繼續推行下去，幫助開發者作好萬全準備，以應對新的安全威脅。這一樣也是咱們在 2019 年的工做重點。

保障 Android 用戶安全是 Google 的重要使命。咱們知道安全問題一般十分棘手，開發者在編寫應用的過程當中也不免會犯錯。咱們但願這個項目能在將來幾年內不斷髮展，助力全球開發者爲用戶帶去值得信賴的應用。

點擊這裏瞭解更多 P&E 相關產品內容