ICS 35.030
CCS L 80
中华人民共和国国家标准
GB/T 42884—2023
信息安全技术 移动互联网应用程序(App)生命周期安全管理指南
Information security technology—Guidelines for life cycle security managementof mobile Internet applications(App)
2023-08-06发布
2024-03-01实施
国家市场监督管理总局
发布国家标准化管理委员会
GB/T 42884—2023
目次
前言 …………………………………………………………………………………………………………………Ⅲ
1 范围 …………………………………………………………………………………………………………………1
2规范性引用文件 ……………………………………………………………………………………………1
3 术语和定义 ……………………………………………………………………………………………………1
4 缩略语 ………………………………………………………………………………………………………2
5 概述 ………………………………………………………………………………………………………………2
5.1 App存在的安全问题 …………………………………………………………………………………2
5.2App生命周期安全管理 …………………………………………………………………………………2
6生命周期阶段管理过程 ………………………………………………………………………………………3
6.1 需求分析阶段 …………………………………………………………………………………………3
6.2开发设计阶段 ………………………………………………………………………………………………4
6.3测试验证阶段 …………………………………………………………………………………………5
6.4 上架发布阶段 ……………………………………………………………………………………………6
6.5 安装运行阶段 ………………………………………………………………………………………………7
6.6更新维护阶段 ……………………………………………………………………………………………7
6.7终止运营阶段 …………………………………………………………………………………………8
6.8 其他安全支持过程 ……………………………………………………………………………………8
7风险监测管理过程 ……………………………………………………………………………………………9
7.1风险数据管理 ………………………………………………………………………………………………9
7.2 安全漏洞管理……………………………………………………………………………………………10
附录 A(资料性) App存在的安全问题分类及描述………………………………………………………13
A.1恶意程序的分类及描述………………………………………………………………………………13
A.2个人信息风险的分类及描述………………………………………………………………………13
A.3 应用行为风险的分类及描述 ………………………………………………………………………14
A.4 安全漏洞的分类及描述 ……………………………………………………………………………15
附录B(资料性)App存在的安全问题与安全管理活动的应对关系…………………………………16
附录C(资料性) 安全开发…………………………………………………………………………………17
C.1 程序安全…………………………………………………………………………………………………17
C.2 安全保障………………………………………………………………………………………………20
参考文献 ………………………………………………………………………………………………………21
GB/T 42884—2023
信息安全技术 移动互联网应用程序(App)生命周期安全管理指南
1 范围
本文件提供了移动互联网应用程序(App)生命周期阶段管理过程和风险监测管理过程的安全管理指南。
本文件适用于App提供者对App的开发、运营等生命周期安全管理，App分发平台管理者和移动智能终端厂商等参考使用。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2022信息安全技术术语GB/T 28458—2020信息安全技术网络安全漏洞标识与描述规范GB/T 38674—2020信息安全技术应用软件安全编程指南GB/T 39720—2020信息安全技术移动智能终端安全技术要求及测试评价方法GB/T 41391—2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求
3 术语和定义
GB/T 25069—2022、GB/T 38674-2020、GB/T 39720-2020和GB/T 41391—2022界定的以及下列术语和定义适用于本文件。
3.1
移动智能终端 smart mobile terminal
具有能够提供应用程序开发接口的开放系统，并能够安装和运行第三方应用软件的移动终端。[来源：GB/T 39720—2020,3.1]
3.2
移动互联网应用程序 mobile Internet application运行在移动智能终端上向用户提供信息服务的应用软件。注：包括安装、运行的应用程序和小程序，简称App。[来源：GB/T41391—2022,3.1,有修改]
3.3
App生命周期 mobile Internet application life cycleApp从需求分析到终止运营随时间进化的过程。
3.4
App提供者 mobile Internet application provider设计、开发或运营App的组织或个人。
GB/T 42884—2023
注：包括法人、自然人或其他组织等。
3.5
App分发平台管理者 mobile Internet application distribution platform manager管理App、分发或升级的主体。注：包括应用商店、App、网站、游戏中心和短视频等的管理者。
3.6
个人信息风险 personal information risk
App开发或运营过程中可能存在的侵害个人信息权益的风险。
注：包括未公开收集使用、未明示收集使用、未同意收集使用、违反必要原则、未经同意向他人提供和未提供更正删除功能或未公布投诉举报方式等风险。
3.7
敏感数据 sensitive data
必须受保护的，其泄露、修改、破坏或丢失会对人或事产生可预知的损害的信息。注：包括身份鉴别数据、会话标识符、口令、连接字符串等。[来源：GB/T38674—2020,3.1.9]
4 缩略语
下列缩略语适用于本文件。
API:应用程序编程接口(Application Programming Interface)
SDK:软件开发工具包(Software Development Kit)
5 概述
5.1 App存在的安全问题
App存在的安全问题包括恶意程序、个人信息风险、应用行为风险和安全漏洞四个类别。附录A给出了App存在的安全问题分类及描述：
a) 恶意程序的分类及描述见表A.1;
b)个人信息风险的分类及描述见表A.2;
c) 应用行为风险的分类及描述见表A.3;
d) 安全漏洞的分类及描述见表A.4。
5.2 App生命周期安全管理
App生命周期安全管理包括App的生命周期阶段管理过程和风险监测管理过程两个部分。生命周期阶段管理过程包括七个阶段(需求分析阶段、开发设计阶段、测试验证阶段、上架发布阶段、安装运行阶段、更新维护阶段和终止运营阶段)以及其他安全支持过程。为了应对App存在的安全问题，App提供者在生命周期阶段管理过程中实施不同的安全管理活动(App存在的安全问题与安全管理活动的应对关系见附录B),此外还需要在风险监测管理过程中对个人信息风险、应用行为风险和安全漏洞进行监测、发现和处理；App分发平台管理者在上架发布和终止运营等阶段审核App提供者提交的上架申请和下架申请相关材料，并在运行监测和安全更新等活动中发现安全问题提醒App提供者处理；移动智能终端厂商在App安装检测和运行监测时发现安全问题，App提供者对安全问题进行处理。App存在的安全问题和App生命周期安全管理示意图见图1。