个人电脑软件安全规范

1个人电脑软件安全规范本标准规定了个人电脑软件分发平台的业务架构、功能要求、接入规范、管理规范以及安全要求。本文件适用于通用电脑终端，个别条款不适用于特殊行业、专业应用，其他终端也可参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2022信息安全技术术语3术语和定义下列术语和定义适用于本文件。3.1个人电脑Personalcomputer能够接入通信网，具有能够提供应用程序开发接口的电脑系统，具有安装、加载和运行应用软件能力的终端。3.2个人电脑软件PersonalComputersoftware可安装在个人电脑内，能够利用个人电脑终端操作系统提供的公开开发接口，实现某项或某几项特定任务的计算机软件，包含个人电脑预置应用软件，小程序以及互联网信息服务提供者提供的可以通过网站、应用商店等应用分发平台下载、安装、升级的应用软件。3.3个人电脑软件开发者PersonalComputersoftwaredeveloper实际组织开发、直接进行开发，并对开发完成的个人电脑软件承担责任的法人或者其他组织，个人电脑软件的所有者、管理者和提供者。3.4个人电脑软件分发源DistributingsourceofPersonalComputersoftware面向消费者用以展示、下载、安装、升级等个人电脑适用的应用软件分发服务的各类平台，包括但不限于软件商店、分发网站、具有分发能力的应用软件等分发平台。3.5PC软件库SoftwareLibraryofPersonalComputer由经过严格测试，不含病毒、捆绑插件等恶意程序的PC软件构筑形成的安全软件分享平台，同时将软件合理分类并加入软件索引，便于个人电脑软件分发源对接、查询和获取。24缩略语下列缩略语适用于本文件。PC个人电脑（PersonalComputer）API应用程序接口（ApplicationProgrammingInterface）5个人电脑软件分发体系业务架构个人电脑软件分发源1个人电脑软件开发者2PC软件库智能手机所事先形成的使用习惯和个人电脑多年来形成的行业格局，需要构建更为顺应产业发展潮流的个人电脑软件分发体系业务架构来协调与规范，下图1为个人电脑软件分发体系业务架构图。个人电脑软件分发源1个人电脑软件开发者2PC软件库个人电脑软件开发者1个人电脑软件分发源2个人电脑软件分发源个人电脑软件分发源n个人电脑软件开发者n图1个人电脑软件分发体系业务架构图6个人电脑软件分发体系功能要求6.1PC软件库概述PC软件库是指在电脑软件检测合格后进行收录，既能提供给电脑软件分发源使用，又能满足用户下载软件需求的产品；在个人电脑软件分发源推广电脑软件过程中，若发现非PC软件库收录的软件，应给予用户警示并引导至经认证的个人电脑软件分发源进行下载。6.2PC软件库功能设计PC软件库是防止不良软件流入市场的重要屏障，在运营过程中应严把入口关，其主要功能包括：a)电脑软件检测合格后，方可录入PC软件库；b)电脑软件升级版本，应待新版本检测合格后，方可录入PC软件库；c)电脑软件被国家有关部门通报或者用户举报经查实者，应对违规行为进行限期整改，复检合格后方可保持在PC软件库，否则进行下架处理；d)PC软件库定期进行软件巡检，发现软件存在违规行为，应进行限定期限内完成整改并复检合格后，方可保持在PC软件库，否则进行下架处理。6.3个人电脑软件分发源功能设计个人电脑软件分发源在分发PC软件库的软件过程中，若发现市场上有媒体在分发非PC软件库的软件，应保证如下功能以保护消费者的合法权益：a)PC软件库是个人电脑获取分发源软件的唯一途径，并以自然日为单位保持数据同步；b)用户可以在任意一个软件分发源产品的设置界面中，改变自己习惯的默认的分发源。只有默认的分发源才能进行场景引导行为（例如：引导用户至合规软件分发源获取软件此举为了避3免出现用户电脑存在多个分发源的情况下，各分发源在用户发生特性行为后出现多种场景引导提示的干扰情况。c)经认证的个人电脑软件分发源产品在被用户设置为默认分发源之后，可以监测消费者电脑上的软件下载行为，对未经认证或允许的软件分发行为应进行拦截并引导至合规的个人电脑软件分发源产品获取软件。7PC软件库接入规范7.1个人电脑软件个人开发者接入个人电脑软件个人开发者在PC软件库后台申请开发者账号时，应提供开发者姓名、身份证信息、联系方式等。7.2个人电脑软件企业开发者接入个人电脑软件企业开发者在PC软件库后台申请开发者账号时，应提供以下内容：——企业名称、企业注册地址、营业执照号、营业执照彩色扫描件等；——企业法人代表姓名、身份证信息等；——账号管理员姓名、身份证信息、联系方式等。7.3个人电脑软件接入个人/企业开发者若需在PC软件库后上传电脑软件，应提供以下内容：——软件名称、类别、版本号、简要描述；——软件安装包或下载地址；——软件图标、运行界面截图；——软件著作权证书、特殊软件需资质证明（具体内容详见附录A——支持的操作系统、系统位数。——静默安装命令行参数、静默卸载命令行参数以上内容需通过人工审核，在确保软件本体可运行、基本功能可实现，无病毒与恶意程序，资质与其他信息无误后方可上架并开放下载。7.4个人电脑软件审核标准8审核标准概述审核标准适用于新软件上传、在架软件更新、日常抽查核验、用户举报核验等，只有当个人电脑软件未违反以下任何条款时，方可予以上架。若存在违反条款情况，酌情驳回上架申请或进行软件下架处理，直至其完成整改，经测试整改无误后可重新上架。审核需包含7.4.2-7.4.8所述内容。9软件信息审核软件信息审核包括如下内容：a)软件名称、包名、版本、简要描述中，不得出现任何违法违规内容；b)开发者提交的软件名称必须与安装后的桌面名称一致，若软件存在多个程序，应填写主程序名称；c)软件名称不得出现不合理后缀，包括但不限于与软件无关内容、恶意引流内容等；d)软件图标、运行界面截图不得出现任何违法违规内容，且必须为与软件实际内容相符；4e)软件图标、运行界面截图需清晰度高，不得出现模糊不清、拉伸压缩、黑边白边、明显锯齿等情况；f)开发者提交的软件图标必须与安装后的桌面显示图标一致。10软件安装功能审核软件安装功能审核包括如下内容：a)软件在简要描述中说明支持的操作系统版本、系统位数测试环境下，能够正常安装；b)安装界面若提供开机启动选项，应显示在醒目位置，且默认为不勾选。严禁安装过程中通过误导、强制等手段添加开机启动项；c)安装界面若提供创建快捷方式选项，请显示在醒目位置，且默认为勾选。若勾选选项，安装成功后至多创建一个快捷图标；d)安装完成界面可提供立即启动按钮。严禁在用户未授权情况下直接启动软件或其他子进程；e)若安装失败，请提供明确原因或错误码；f)安装界面提供取消或关闭按钮，若安装进程打断，系统将恢复到安装前状态。g)软件在安装界面的显著位置应该明示用户许可协议等内容，不得在未经用户同意和授权的情况下直接安装h)软件如果存在静默安装行为和方式的，应该提前报备和说明其静默安装参数和静默安装路径参数等（如果支持的话），以便软件分发源进行识别，以及部分软件分发源在特定形式情况下进行安装处理i)软件如果存在静默卸载和方式的，应该提前报备和说明其静默卸载参数等（如果支持的话以便软件分发源进行识别，以及部分软件分发源在特定形式情况下进行卸载处理，避免通过文件强制删除造成的用户电脑文件残留，影响体验等。11软件运行功能审核软件运行功能审核包括如下内容：a)软件运行时不得出现崩溃、闪退、白屏或发生严重错误的情况；b)软件主功能不得无法使用或出现严重使用障碍；c)软件主功能需与软件名称、简要描述中内容一致；d)软件运行后不得出现强制要求升级情况；e)若软件功能仅供部分用户使用，其简要描述里应对限制范围作出说明；f)软件主程序退出后，子进程必须随之关闭；g)常驻程序必须给出充分的存在理由，并且能够在任务管理器中将其结束；h)软件不得存在诱导付费、自动扣费、隐形扣费等行为，所有付费项目必须清晰展示；i)开通付费功能后，软件需提供相应功能以供使用；j)儿童类软件支付功能不得存在任何诱导儿童支付，或暗示儿童使用无密码式快捷支付等内容。12软件安全性审核软件安全性审核包括如下内容：a)软件不得存在恶意行为，包括但不限于病毒木马等；b)软件在未经允许的情况下不得修改系统默认配置、数据或终端设备功能；c)软件不得出现监控用户、侵犯隐私等行为；d)软件不得频繁出现导致系统死机或重启等情况；e)软件不得出现超正常需要，高占用CPU或内存进而影响用户正常使用设备的情况。513软件卸载功能审核软件卸载功能审核包括如下内容：a)软件应具备正常卸载功能，可在系统功能-控制面板里进行卸载；b)软件卸载时不得出现闪退、崩溃，或其他无法卸载的情况；c)卸载时不得自动删除用户数据，包括但不限于聊天记录、图片、视频、文档等；d)卸载界面应提供删除用户数据的接口，包括但不限于删除聊天记录、图片、视频、文档等；e)除用户授权要求外，软件需卸载干净无残留；f)若卸载失败，请提供明确原因或错误码。14软件内容审核软件内容审核包括如下内容：a)软件不得传播色情、低俗或其他暗示性的内容；b)软件不得含有宣传邪教或封建迷信等内容；c)软件不得含有赌博、非法彩票、非法借贷及其他涉金融类不良内容；d)软件不得含有强烈的暴力暗示，或引人不适的血腥内容；e)软件不得含有破坏民族团结、宣扬种族歧视等内容；f)软件得含有宣传、贩卖、购买违禁物品的内容；g)软件不得出现任何危害未成年人身心健康，或易造成不良导向的内容；h)软件不得出现其他违法违规内容。15软件广告审核软件广告审核包括如下内容：a)软件不得出现频繁弹窗等恶意广告行为影响用户体验；b)软件内广告不得强制或诱导用户点击；c)软件内广告需带有关闭功能，且软件退出后，广告必须随之关闭；d)软件内广告不得包含色情低俗、赌博、反动、售卖违禁品等违法内容；e)软件内广告不得含有欺诈、严重夸大或其他不符合《广告法》要求的内容；f)面向未成年人的软件，其广告必须严格遵守相关法律及社会准则。16软件维护性审核软件维护性包括如下内容：a)开发者超过一年未更新的软件，应审核其软件功能价值，判断是否应继续在架；b)若发现同一开发者上传多个内容相似度超过80%的软件，应通过审核判断其价值并酌情上架。16.1个人电脑软件分发源服务端接入个人电脑软件分发源服务端与PC软件库服务端进行API对接时，应满足如下要求：a)提供分发源的名称，联系方式，营业执照等信息；b)明确与PC软件库服务端的握手频率和差量升级策略。617PC软件库管理规范17.1个人电脑软件基本信息展示PC软件库的软件下载界面展示各款软件的以下必备信息：——软件名称、分类、简要介绍、版本号、更新时间、更新日志——软件icon、运行界面截图（不少于三张）以下信息为可选展示：——软件支持的操作系统类型、系统位数信息——软件是否含有广告、插件——软件官方网站——用户评分分值、评论数量、评论详情——同类软件相关推荐17.2个人电脑软件安全相关标识PC软件库运营者通过设置不同颜色、形状图标等方式对软件进行显著标识，帮助用户快速了解应用的安全性核验结果，可提供包括但不限于以下标识：——认证标识：对通过病毒检测、插件检测、人工综合审核的软件予以专属标识；——负面信息标识：对近期（3个月内）因违规行为被主管部门通报，或被用户举报且问题经查实者，给予该软件特殊标识，改正并通过验证后可去掉标识；——年龄标识：对于面向未成年人特殊群体的应用，应视情况予以专属标识；——其他标识：关于软件是否收费、是否为压缩包、是否为测试版等情况，可酌情予以专属标识。17.3个人电脑软件开发者管理PC软件库指导个人电脑软件开发者提高安全合规意识，制定个人电脑软件开发者管理制度，包括但不限于：a)在个人电脑软件开发者注册时，需签署开发者协议，明确开发者行为需遵守相关法律、法规与规范性文件，不得出现任何违法、违规、侵权行为；b)设立个人电脑软件开发者禁入/退出管理制度（即黑名单制度），针对同一个人电脑软件开发者多次提交软件均未能通过审核或测试的情况，可在一段时间内禁止其提交软件上架申请；c)统一不同个人电脑软件开发者在审核标准、时长、流程方面、展示样式等方面的要求。d)当软件开发者在上架审核收录过程中，需要对开发者上架收录中遇到的审核问题提供必要解释说明，帮助个人开发者调整和解决产品问题。17.4日常监督与问题处置对个人电脑软件实施常态化监督机制，定期抽查软件合规性，主动配合主管部门通报要求，积极处理用户投诉反馈，包括但不限于：a)根据下载量、举报记录、更新时间、历史违规记录等要素确定抽样审核优先级，定期抽查软件合规性，抽查审核标准详见7.4；b)设立便捷的渠道接收用户对个人电脑软件的投诉举报，及时针对举报内容进行核验，并在一个自然月内向用户反馈核验结果，使用户确认投诉举报已被受理；c)经核验用户反映问题属实的，按照情况严重程度对个人电脑软件进行立即下架或限期整改处理，情况严重且拒不整改或未在一个月内按照要求整改者，予以下架处理；7定期巡查个人电脑d)软件评论区，对涉及违反审核标准的用户评论应给予重视并进行核验，若发现问题属实，应视情况对软件进行立即下架或限期整改处理，情况严重且拒不整改或未在规定时间内按照要求整改者，予以下架处理；e)对主管、监管部门通报存在违法违规情况的个人电脑软件，配合采取监督整改、下架等措施；f)按照主管、监管部门的监管要求，对典型举报问题、软件审核情况、问题软件处置情况进行汇总分析并形成报告上报主管、监管部门；g)对发现的违法违规线索，保存录屏证据等，及时报主管、监管部门。18安全要求为防止接口被攻击，个人电脑软件分发源服务端与PC软件库服务端采用密钥方式通信，确保数据传输的安全和稳定。18.1网络安全a)将PC软件库服