组织和运营安全性

从您的组织内部开始为良好的安全实践奠定基础。

组建安全和隐私权团队

组建一个专门的安全和隐私权团队,并为该组织安排一位领导者。

  • 组建安全团队。
    • 确保有至少 1 名员工负责安全、隐私权和事件响应。
    • 为这个团队指定任务和职责范围。
    • 为以下人员制定组织结构图和职位描述:安全经理、安全工程师、事件管理员。
    • 雇用员工或外部承包商来担任这些角色。
  • 定义安全开发生命周期 (SDL)。您的 SDL 应涵盖以下方面:
    • 产品的安全要求。
    • 风险分析和威胁建模。
    • 对应用和代码的静态和动态分析
    • 产品的最终安全审核流程。
    • 事件响应。
  • 评估组织风险。创建风险评估并制定计划以消除或化解这些风险。

创建验证流程

评审现有内部构建验证和批准流程中的问题。

  • 指出当前构建验证流程中可能导致在 build 中引入潜在有害应用 (PHA) 的所有问题。
  • 确保制定了代码审核和批准流程,即使是对 AOSP 的内部补丁也是如此。
  • 通过在以下方面实施控制来提高 build 完整性:
    • 跟踪更改。跟踪软件工程师;保留更改日志。
    • 评估风险。评估应用使用的权限;需要对代码更改进行手动审核。
    • 监控。评估对特权代码所做的更改。

源代码更改跟踪

监控源代码或第三方应用/二进制文件/SDK 的意外修改行为。

  • 评估合作伙伴关系。按照以下步骤评估与技术合作伙伴进行合作的风险:
    • 针对如何评估与特定供应商合作的风险制定标准。
    • 制作一个表单,询问供应商如何解决事件并管理安全性和隐私权。
    • 通过定期审核验证他们的声明。
  • 跟踪更改。记录哪些公司和员工修改了源代码并定期进行审核,以确保只进行适当的更改。
  • 保留记录。记录哪些公司将第三方二进制文件添加到您的 build 中,并记录这些应用执行的功能及其收集的数据。
  • 计划更新。确保您的供应商按照要求在产品的整个生命周期内提供软件更新。不可预见的漏洞问题可能需要供应商提供支持才能解决。

验证源代码完整性和起源

检查并验证原始设备制造商 (ODM)、无线下载更新 (OTA) 或运营商提供的源代码。

  • 管理签名证书
    • 将密钥存储在硬件安全模块 (HSM) 或安全云服务中(不要共享它们)。
    • 确保控制和审核对签名证书的访问权限。
    • 要求在构建系统中完成所有代码签名。
    • 撤消丢失的密钥。
    • 根据最佳实践生成密钥。
  • 分析新代码。使用安全代码分析工具测试新添加的代码,检查是否引入了新漏洞。此外,还要分析整体功能以检测新漏洞的表现形式。
  • 在发布前进行审核。在将源代码和第三方应用推送到生产环境之前,查找其中的安全漏洞。例如:
    • 要求应用使用安全通信。
    • 遵循最小权限原则并授予应用运行所需的最小权限集。
    • 确保通过安全通道存储和传输数据。
    • 确保服务依赖项保持最新状态。
    • 将安全补丁程序应用于 SDK 和开源库。

事件响应

Android 相信可以借助强大的安全社区发现问题。您应该为外部各方创建并公布一种方法,方便相应人员可以就设备特有的安全问题与您联系。

  • 建立联系。创建一个电子邮件地址(例如 security@your-company.com)或制作一个网站,并清晰地说明如何报告与您的产品相关的潜在安全问题(示例)。
  • 建立漏洞奖励计划 (VRP)。只要提交的内容有效,就可以获得金钱奖励,以此鼓励外部安全研究人员提交影响您的产品的安全漏洞报告(示例)。我们建议为研究人员提供在行业内具有竞争力的奖励,例如,报告“严重”漏洞奖励 5,000 美元,报告严重程度为“高”的漏洞奖励 2,500 美元。
  • 向上游贡献更改。如果您发现某个安全问题会影响 Android 平台或多个设备制造商的设备,请通过提交安全 bug 报告与 Android 安全团队联系。
  • 宣传良好的安全做法。主动评估为您的设备提供服务、组件和/或代码的硬件和软件供应商的安全做法。让供应商负责维持良好的安全态势。