淺談SDK用戶安全的最佳實踐

應(yīng)用開發(fā)者應(yīng)該確保應(yīng)用能夠安全穩(wěn)定地運行，并保護用戶免受任何安全漏洞 [包括可能由您所用的軟件開發(fā)工具包 (SDK) 引入的安全漏洞] 的影響。

而作為 SDK 供應(yīng)商，您一定不希望自己的 SDK 導(dǎo)致應(yīng)用/游戲開發(fā)者違反 Google Play 開發(fā)者政策，這可能會使他們的業(yè)務(wù)中斷并面臨 Google Play 的違規(guī)處置。

所以，無論您是正在使用 SDK 的應(yīng)用開發(fā)者，還是 SDK 供應(yīng)商，都請詳細了解以下用戶安全最佳實踐。

如果您是應(yīng)用開發(fā)者

在將某個 SDK 集成到您的應(yīng)用內(nèi)之前，請確保您了解該 SDK 的使用權(quán)限、收集的數(shù)據(jù)以及原因，并將這類信息添加到您的數(shù)據(jù)安全表單中。請注意，作為應(yīng)用開發(fā)者，即使您并不使用該 SDK 的某項功能，也必須對該 SDK 的數(shù)據(jù)收集行為負責。

建議您查看所有相關(guān)的 Google Play 開發(fā)者政策，以了解收集用戶數(shù)據(jù)的使用范圍以及是否可以擴展使用的規(guī)范。例如，對于設(shè)備位置信息的使用，您必須按照提供 "醒目披露聲明與征求用戶同意" 的最佳做法將自己與第三方/SDK 共享此類數(shù)據(jù)的所有行為告知終端用戶。

及時知曉 Google Play 政策更新以確保您應(yīng)用內(nèi)集成的 SDK 不會導(dǎo)致您的應(yīng)用違反 Play 政策，例如以下政策的更新: 設(shè)備和網(wǎng)絡(luò)濫用政策、廣告政策以及用戶數(shù)據(jù)政策中與永久性設(shè)備標識符有關(guān)的規(guī)定。

請不要出售個人以及敏感的用戶信息。

如果您的應(yīng)用出現(xiàn)因 SDK 導(dǎo)致的違規(guī)行為，并且已經(jīng)收到了違規(guī)處置通知，您可以在參考指南中尋找解決方案:

如果您是 SDK 供應(yīng)商

及時知曉 Google Play 政策更新以確保您的 SDK 不會導(dǎo)致應(yīng)用違反 Play 政策，例如以下政策的更新: 設(shè)備和網(wǎng)絡(luò)濫用政策、廣告政策以及用戶數(shù)據(jù)政策中與永久性設(shè)備標識符有關(guān)的規(guī)定。使用了您的 SDK 的應(yīng)用可能因違反了這些政策，而面臨 Google Play 采取的違規(guī)處置措施。例如:

如果您的 SDK 會使用個人及敏感的用戶數(shù)據(jù)，您必須確保已在公開文檔中向使用您 SDK 的應(yīng)用開發(fā)者闡明了這一點。

會在運行時加載 JavaScript、Python 或 Lua 等解釋型語言的 SDK (例如未打包到應(yīng)用 Packages 中) 不得包含可能違反 Google Play 政策的行為，例如在沒有合適理由，或未進行適當披露并征求用戶意見的情況下收集已安裝的 Packages 的數(shù)據(jù)。

請不要出售個人以及敏感的用戶信息。

在您的 SDK 中支持最新的 API 安全功能和數(shù)據(jù)最小化功能 (您可以查看 2022 年 4 月更新)。

幫助應(yīng)用開發(fā)者了解您的 SDK 可能會收集哪些用戶數(shù)據(jù)以及它為何需要使用這些數(shù)據(jù)，以便應(yīng)用開發(fā)者能夠?qū)⑾嚓P(guān)說明添加到向最終用戶提供的 "醒目披露聲明與征求用戶同意" 中，并能在適用的情況下將其添加到各自的隱私權(quán)政策中。

您應(yīng)實現(xiàn)讀取并遵守應(yīng)用開發(fā)者收集的用戶偏好設(shè)置的邏輯，或者確保提供一種機制來讓應(yīng)用開發(fā)者根據(jù)這類用戶意見征求事件來準確初始化您的 SDK。

以一種便于公開訪問和瀏覽的格式提供您的數(shù)據(jù)使用信息。您或許可以使用這種可選格式來發(fā)布信息，因為很多開發(fā)者都非常熟悉這種格式。您可以參閱 Google Firebase SDK 的數(shù)據(jù)披露聲明和 Google AdMob SDK 的數(shù)據(jù)披露聲明來了解相關(guān)示例。

歡迎您持續(xù)關(guān)注，我們會定期發(fā)布政策更新和詳解，方便您更及時更清晰的掌握 Google Play 最新政策。

原文標題：SDK 最佳實踐，為您的用戶打造安全優(yōu)質(zhì)的應(yīng)用

文章出處：【微信公眾號：谷歌開發(fā)者】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

審核編輯：湯梓紅