GB/T 42884-2023信息安全技术移动互联网应用程序(App)生命周期安全管理指南

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T42884—2023

信息安全技术移动互联网应用程序App

()

生命周期安全管理指南

Informationsecuritytechnology—Guidelinesforlifecyclesecuritymanagement

ofmobileInternetalicationsA

pp(pp)

2023-08-06发布2024-03-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T42884—2023

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

概述

5………………………2

存在的安全问题

5.1App………………2

生命周期安全管理

5.2App……………2

生命周期阶段管理过程

6…………………3

需求分析阶段

6.1………………………3

开发设计阶段

6.2………………………4

测试验证阶段

6.3………………………5

上架发布阶段

6.4………………………6

安装运行阶段

6.5………………………7

更新维护阶段

6.6………………………7

终止运营阶段

6.7………………………8

其他安全支持过程

6.8…………………8

风险监测管理过程

7………………………9

风险数据管理

7.1………………………9

安全漏洞管理

7.2………………………10

附录资料性存在的安全问题分类及描述

A()App……………………13

恶意程序的分类及描述

A.1…………13

个人信息风险的分类及描述

A.2……………………13

应用行为风险的分类及描述

A.3……………………14

安全漏洞的分类及描述

A.4…………15

附录资料性存在的安全问题与安全管理活动的应对关系

B()App…………………16

附录资料性安全开发

C()………………17

程序安全

C.1……………17

安全保障

C.2……………20

参考文献

……………………21

Ⅰ

GB/T42884—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位武汉安天信息技术有限责任公司北京赛西科技发展有限责任公司中国信息通

:、、

信研究院华为技术有限公司维沃移动通信有限公司三六零科技集团有限公司广东移动通

、、、、OPPO

信有限公司北京小米移动软件有限公司公安部第三研究所国家计算机病毒应急处理中心中国软件

、、、、

评测中心国家计算机网络应急技术处理协调中心中国科学院信息工程研究所启明星辰信息技术集

、、、

团股份有限公司联想北京有限公司美的集团股份有限公司海信集团控股股份有限公司蚂蚁科技

、()、、、

集团股份有限公司南方电网数字电网研究院有限公司北京智游网安科技有限公司杭州安恒信息技

、、、

术股份有限公司北京指掌易科技有限公司北京百度网讯科技有限公司北京版信通技术有限公司北

、、、、

京快手科技有限公司陕西省信息化工程研究院北京梆梆安全科技有限公司

、、。

本文件主要起草人潘宣辰许玉娜陈诚王淞鹤袁中举成明江姚一楠李腾陆伟陈家林

:、、、、、、、、、、

张艳田原刘彦蔡一鸣秦晓磊何能强卢志刚余丽娜孙海燕史景李汝鑫杨坤张淯易王昕

、、、、、、、、、、、、、、

白晓媛母天石韩云李献振李彪唐佳伟董宏潘正泰方宁衣强杜丹贾科落红卫杨明慧

、、、、、、、、、、、、、、

徐祥智毕凯峰

、。

Ⅲ

GB/T42884—2023

信息安全技术移动互联网应用程序App

()

生命周期安全管理指南

1范围

本文件提供了移动互联网应用程序生命周期阶段管理过程和风险监测管理过程的安全管理

(App)

指南

。

本文件适用于提供者对的开发运营等生命周期安全管理分发平台管理者和移动

AppApp、,App

智能终端厂商等参考使用

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2022

信息安全技术网络安全漏洞标识与描述规范

GB/T28458—2020

信息安全技术应用软件安全编程指南

GB/T38674—2020

信息安全技术移动智能终端安全技术要求及测试评价方法

GB/T39720—2020

信息安全技术移动互联网应用程序收集个人信息基本要求

GB/T41391—2022(App)

3术语和定义

和界定的以及

GB/T25069—2022、GB/T38674—2020、GB/T39720—2020GB/T41391—2022

下列术语和定义适用于本文件

。

31

.

移动智能终端smartmobilet