11月9日，以“MORE，近你所想”為主題的2022 vivo開發(fā)者大會(huì)開啟分會(huì)場(chǎng)的討論。在安全隱私分會(huì)場(chǎng)上，來(lái)自vivo的安全專家和行業(yè)伙伴一起與開發(fā)者們分享了過(guò)去一年里vivo在安全隱私保護(hù)建設(shè)上的實(shí)踐及成果。

安全隱私之路沒(méi)有盡頭，vivo將不懈追求

數(shù)字化時(shí)代，安全隱私問(wèn)題已成為人們關(guān)注的焦點(diǎn)，也是社會(huì)各層面需要共同面對(duì)和解決的難題。這一背景下，用戶安全隱私意識(shí)的不斷覺(jué)醒，促進(jìn)了以用戶為導(dǎo)向的、以數(shù)據(jù)安全與隱私保護(hù)為核心的安全體系的發(fā)展。

vivo安全總監(jiān)劉洪善在開場(chǎng)演講中與大家分享了vivo的安全新范式，包括安全認(rèn)知、基礎(chǔ)安全體系、安全體驗(yàn)和透明溝通四個(gè)方面。

vivo安全總監(jiān) 劉洪善

自上而下的安全戰(zhàn)略與原則，是一切安全工作的起點(diǎn)。vivo把數(shù)據(jù)安全、隱私保護(hù)與守法合規(guī)作為企業(yè)研發(fā)經(jīng)營(yíng)活動(dòng)中絕對(duì)不可以觸碰的紅線和基本底線，來(lái)指導(dǎo)各項(xiàng)工作的開展。vivo在新發(fā)布的《vivo 2021年可持續(xù)發(fā)展報(bào)告》中，將信息安全和用戶隱私保護(hù)列為重要性最高的兩個(gè)課題，進(jìn)一步提升了這一戰(zhàn)略的高度，保障公司在安全隱私上的投入。同時(shí)，透明可控、隱私端側(cè)處理、數(shù)據(jù)最小化作為vivo的隱私保護(hù)三原則，也在其不斷的實(shí)踐探索中得到了豐富。基于上述安全認(rèn)知，vivo構(gòu)建了安全組織、技術(shù)、流程、工具等、組成的完整的安全體系；打造了多項(xiàng)以千鏡安全架構(gòu)為基礎(chǔ)而孵化出的安全產(chǎn)品與服務(wù)，以不斷提升用戶的產(chǎn)品安全體驗(yàn)。同時(shí)，vivo持續(xù)保持與監(jiān)管部門、行業(yè)和用戶的透明溝通，以此來(lái)檢驗(yàn)自身的安全工作，為安全能力的提升創(chuàng)造更好的條件。

vivo將過(guò)去一段時(shí)間內(nèi)在安全方面的思考與實(shí)踐進(jìn)行沉淀總結(jié)，面向全球發(fā)布了《vivo安全與隱私保護(hù)透明白皮書》。白皮書首次詳細(xì)披露了vivo完整的隱私保護(hù)體系、透明展示了vivo在安全建設(shè)上的努力與決心。

vivo發(fā)布《vivo安全與隱私保護(hù)透明白皮書》

劉洪善表示，單靠任何一個(gè)廠商，是無(wú)法滿足所有安全需求的，安全體系需多方共建。除了加強(qiáng)自身安全體系建設(shè)，vivo將一貫秉持開放透明的心態(tài)，與各方攜手共建安全生態(tài)、共推安全產(chǎn)業(yè)、共創(chuàng)安全體驗(yàn)。

架構(gòu)與工具雙線發(fā)力，協(xié)同多方角色助推行業(yè)安全水平提升

用戶、應(yīng)用開發(fā)者和監(jiān)管部門是移動(dòng)互聯(lián)網(wǎng)生態(tài)中的三個(gè)主要角色，他們的安全需求不一，各有側(cè)重。為應(yīng)對(duì)不同角色的差異化需求，vivo重點(diǎn)做了兩方面的工作：即構(gòu)建終端安全產(chǎn)品體系以及開放多款應(yīng)用安全與隱私保護(hù)檢測(cè)工具。

vivo安全專家蘇濤詳細(xì)介紹了vivo的千鏡安全架構(gòu)。該架構(gòu)作為端側(cè)安全能力的基座，能夠從芯片層、內(nèi)核層、框架層和應(yīng)用層四個(gè)層面為安全產(chǎn)品提供系統(tǒng)化保護(hù)，進(jìn)而保障用戶數(shù)據(jù)安全與隱私。其中，芯片層是千鏡安全架構(gòu)的基礎(chǔ)，作用是提供金融級(jí)的基礎(chǔ)安全能力。在此基礎(chǔ)上，內(nèi)核層保障系統(tǒng)安全運(yùn)行，框架層管控應(yīng)用行為，應(yīng)用層提供用戶可感知的隱私保護(hù)能力?；谇хR安全架構(gòu)，vivo孵化出了千鏡可信引擎，它是行業(yè)內(nèi)首個(gè)全層級(jí)綜合設(shè)備可信度分析系統(tǒng)，可以為用戶提供反欺詐防護(hù)。

vivo安全專家 蘇濤

vivo本次還發(fā)布了三款安全與隱私合規(guī)風(fēng)險(xiǎn)檢測(cè)工具。分別是輕量化代碼安全掃描插件、多維度自動(dòng)化應(yīng)用安全檢測(cè)平臺(tái)、智能化隱私與合規(guī)檢測(cè)平臺(tái)，它們能在應(yīng)用開發(fā)和測(cè)試階段，幫助開發(fā)者識(shí)別并修復(fù)安全與隱私合規(guī)風(fēng)險(xiǎn)，助力開發(fā)者高效安全開發(fā)。

構(gòu)筑APP全鏈路管控體系，與開發(fā)者共建安全合規(guī)的移動(dòng)應(yīng)用生態(tài)

監(jiān)管部門非常重視個(gè)人信息保護(hù)，正不斷加強(qiáng)對(duì)APP的監(jiān)管力度。vivo積極落實(shí)平臺(tái)主體責(zé)任，對(duì)APP實(shí)行生命周期的全鏈路管理，持續(xù)為用戶提供權(quán)益保護(hù)。vivo中國(guó)區(qū)合規(guī)測(cè)試負(fù)責(zé)人黃梁鋒對(duì)該管理舉措進(jìn)行了介紹。

具體管理措施大致可分為三個(gè)方面：1.更新審核標(biāo)準(zhǔn)，升級(jí)自動(dòng)化檢測(cè)能力，對(duì)開發(fā)者進(jìn)行合規(guī)宣導(dǎo)；2.執(zhí)行入庫(kù)檢測(cè)，同時(shí)對(duì)存量APP進(jìn)行巡檢排查；3.經(jīng)過(guò)排查或者接受外部反饋后，對(duì)確認(rèn)存在違規(guī)的APP進(jìn)行責(zé)令整改或者處罰。除APP外，快應(yīng)用和SDK也在管控范圍內(nèi)，對(duì)這三類模塊的合規(guī)安全要求基本一致。通過(guò)從上架前的全方位測(cè)試審核到上架后的嚴(yán)格管理，全方位保障了APP全生命周期的安全合規(guī)。

vivo中國(guó)區(qū)合規(guī)測(cè)試負(fù)責(zé)人 黃梁鋒

此外，黃梁鋒還分享了日常APP合規(guī)安全測(cè)試工作，展示了包括個(gè)人信息采集、權(quán)限彈窗、廣告跳轉(zhuǎn)等多個(gè)合規(guī)問(wèn)題場(chǎng)景，幫助開發(fā)者更好的理解合規(guī)要求。

vivo愿與開發(fā)者共同努力，通過(guò)持續(xù)完善應(yīng)用商店個(gè)人信息保護(hù)管理體系，提升隱私合規(guī)意識(shí)、完善相關(guān)技術(shù)能力，為廣大用戶營(yíng)造更加安全、健康、和諧的APP生態(tài)環(huán)境，助力行業(yè)生態(tài)治理工作的有序開展與提升。

行業(yè)伙伴分享技術(shù)與合作，共話安全生態(tài)發(fā)展

來(lái)自螞蟻集團(tuán)、亞馬遜云科技、復(fù)旦大學(xué)的三位安全行業(yè)頂尖專家同樣亮相分會(huì)場(chǎng)，與開發(fā)者們進(jìn)行安全與隱私實(shí)踐交流與分享，共同探討網(wǎng)絡(luò)安全生態(tài)建設(shè)。

螞蟻集團(tuán)高級(jí)安全專家辛知分享了AntDTX中間件技術(shù)，及其與vivo協(xié)同共治網(wǎng)絡(luò)欺詐的合作成果。

AntDTX中間件是一款面向互聯(lián)網(wǎng)業(yè)務(wù)風(fēng)險(xiǎn)的、開放的、安全可信中間件。它既能夠解決像在智能POS機(jī)中的密鑰與設(shè)備管理的合規(guī)問(wèn)題，又能與手機(jī)合作伙伴一起在欺詐等業(yè)務(wù)風(fēng)控領(lǐng)域?qū)崿F(xiàn)聯(lián)合的治理，實(shí)現(xiàn)終端安全業(yè)務(wù)的統(tǒng)一。

螞蟻集團(tuán)高級(jí)安全專家 辛知

螞蟻安全實(shí)驗(yàn)室通過(guò)將AntDTX.Risk的策略與能力嵌入到vivo的千鏡可信引擎中，兩者優(yōu)勢(shì)互補(bǔ)，共同來(lái)實(shí)現(xiàn)對(duì)欺詐類應(yīng)用的純端檢測(cè)與預(yù)警。該聯(lián)合方案首次部署到了vivo今年4月份的發(fā)布的X Fold和X Note上。隨著數(shù)月的覆蓋擴(kuò)展與升級(jí)，截止2022年9月30日，該聯(lián)合方案已經(jīng)覆蓋vivo手機(jī)量超過(guò)400萬(wàn)臺(tái)，日均識(shí)別潛在風(fēng)險(xiǎn)交易超過(guò)2100筆，大大提升了用戶的支付安全體驗(yàn)。

亞馬遜云安全布道師江學(xué)森做了題為“將安全嵌入到提升開發(fā)者體驗(yàn)之中“的分享，介紹了云安全守護(hù)者計(jì)劃以及亞馬遜云服務(wù)對(duì)vivo安全工作的助力。

亞馬遜云安全布道師 江學(xué)森

云安全守護(hù)者計(jì)劃是指，通過(guò)內(nèi)部培訓(xùn)，提高開發(fā)者的安全知識(shí)儲(chǔ)備，引導(dǎo)開發(fā)者從安全的角度去思考和解決問(wèn)題，進(jìn)而將安全嵌入到應(yīng)用開發(fā)的全流程中。該計(jì)劃總共培訓(xùn)了2000多名開發(fā)者，成效顯著，所發(fā)現(xiàn)的中級(jí)和高級(jí)的安全漏洞和事件減少了22.5%，端到端安全審查的時(shí)間減少了26.9%。

亞馬遜云助力 vivo 構(gòu)建了牢固的云上防護(hù)體系，能更好地保護(hù)消費(fèi)者數(shù)據(jù)安全與隱私。此外，亞馬遜云還通過(guò)云計(jì)算賦能vivo全球營(yíng)銷系統(tǒng)，提供云廠商機(jī)房、云資源按需彈性使用、基礎(chǔ)設(shè)施云托管、云廠商跨多區(qū)域部署方案等多種助力。

復(fù)旦大學(xué)副教授張?jiān)捶窒砹似鋱F(tuán)隊(duì)在開源代碼漏洞治理上的工作及其與vivo的合作。

復(fù)旦大學(xué)副教授 張?jiān)?/p>

由于開源軟件供應(yīng)鏈的引入，移動(dòng)智能操作系統(tǒng)的漏洞治理已成為一件非常棘手的問(wèn)題。張?jiān)唇淌诘膱F(tuán)隊(duì)主要從三個(gè)層面開展工作。對(duì)于上游開源軟件社區(qū)，研究高效的漏洞挖掘技術(shù)；從上下游依賴的角度，針對(duì)上游開源漏洞的信息進(jìn)行增強(qiáng)，為下游漏洞治理提供數(shù)據(jù)支撐；針對(duì)下游系統(tǒng)，研究面向系統(tǒng)鏡像的漏洞危害評(píng)估技術(shù)。以上這些漏洞治理工作的成果效果也非常顯著，助推了移動(dòng)安全生態(tài)的發(fā)展。

為提升手機(jī)操作系統(tǒng)的安全性，張?jiān)唇淌趫F(tuán)隊(duì)聯(lián)合vivo安全團(tuán)隊(duì)開發(fā)了一款適配原 OS的安全漏洞評(píng)估框架。vivo手機(jī)操作系統(tǒng)在出廠前會(huì)經(jīng)過(guò)此系統(tǒng)的安全掃描，保障vivo手機(jī)用戶的數(shù)據(jù)和財(cái)產(chǎn)安全。

攜手共贏，vivo頒發(fā)2022最佳安全合作伙伴獎(jiǎng)項(xiàng)

vivo今年首次在安全與隱私專場(chǎng)舉行了合作伙伴頒獎(jiǎng)儀式，對(duì)和vivo一起為億萬(wàn)用戶安全與隱私保護(hù)做出杰出貢獻(xiàn)的合作伙伴們頒發(fā)了最佳安全技術(shù)合作伙伴和最佳安全業(yè)務(wù)合作伙伴獎(jiǎng)項(xiàng)，以示表彰和感謝。

vivo將堅(jiān)持與伙伴共同成長(zhǎng)、攜手構(gòu)建更安全的新生態(tài)、共同推動(dòng)全行業(yè)安全隱私保護(hù)水平提升，更好的保護(hù)用戶安全與隱私。