Android 应用安全性改进: 全面助力打造 "零漏洞" 应用

做者 / Patrick Mutchler 和 Meghan Kelly, Android 安全和隐私团队

帮助 Android 应用开发者构建 "零漏洞" 的安全应用有助于推进整个生态系统的健康发展。因此，咱们在 5 年前启动了应用安全改进计划，项目发展至今，收获了许多成功，也让咱们更加坚决了继续投入的决心。

Android 安全改进计划介绍

当应用提交到 Google Play 商店后，咱们会扫描并检查应用是否存在安全漏洞。一旦发现应用存在潜在威胁，咱们会当即通知开发人员，并协助他们修复这些问题。

您能够把这整个过程想象成一次 "例行健康检查": 若是扫描未发现任何问题，应用即可进入接下来的常规测试及 Play Store 发布环节；若是检查出问题，咱们便会提供诊断说明，并进行后续的修复工做。

迄今为止，安全改进计划已帮助 30 多万名开发者共修复了超过 100 万个应用。仅在 2018 年，受益的开发者就达 3 万余人，修复的应用数量总计超过 75 万。这意味着咱们为用户解决了至少 75 万个安全隐患，对于咱们而言确实是一场漂亮的胜仗。

计划涵盖的安全漏洞类型

应用安全改进计划涵盖了Android 应用中的各类安全威胁，小到某特定版本开发库中的安全问题 (例如 CVE-2015-5256)，大到 TLS/SSL 证书验证漏洞。

咱们一直在努力提高项目质量，在优化现有检查功能的同时，针对新类型安全漏洞引入更多检查项目。在 2018 年，咱们为如下六类安全漏洞添加了警告:

1. SQL 注入漏洞
2. 基于文件的跨站点脚本漏洞
3. 跨应用脚本漏洞
4. 第三方证书泄露漏洞
5. 挟持漏洞
6. 接口注入漏洞

咱们的首要任务是将项目继续推行下去，帮助开发者作好万全准备，以应对新的安全威胁。这一样也是咱们在 2019 年的工做重点。

保障 Android 用户安全是 Google 的重要使命。咱们知道安全问题一般十分棘手，开发者在编写应用的过程当中也不免会犯错。咱们但愿这个项目能在将来几年内不断发展，助力全球开发者为用户带去值得信赖的应用。

点击这里了解更多 P&E 相关产品内容