|
11月9日,以“MORE,近你所想”為主題的2022 vivo開發者大會開啟分會場的討論。在安全隱私分會場上,來自vivo的安全專家和行業伙伴一起與開發者們分享了過去一年里vivo在安全隱私保護建設上的實踐及成果。 安全隱私之路沒有盡頭,vivo將不懈追求 數字化時代,安全隱私問題已成為人們關注的焦點,也是社會各層面需要共同面對和解決的難題。這一背景下,用戶安全隱私意識的不斷覺醒,促進了以用戶為導向的、以數據安全與隱私保護為核心的安全體系的發展。 vivo安全總監劉洪善在開場演講中與大家分享了vivo的安全新范式,包括安全認知、基礎安全體系、安全體驗和透明溝通四個方面。 vivo安全總監 劉洪善 自上而下的安全戰略與原則,是一切安全工作的起點。vivo把數據安全、隱私保護與守法合規作為企業研發經營活動中絕對不可以觸碰的紅線和基本底線,來指導各項工作的開展。vivo在新發布的《vivo 2021年可持續發展報告》中,將信息安全和用戶隱私保護列為重要性最高的兩個課題,進一步提升了這一戰略的高度,保障公司在安全隱私上的投入。同時,透明可控、隱私端側處理、數據最小化作為vivo的隱私保護三原則,也在其不斷的實踐探索中得到了豐富。基于上述安全認知,vivo構建了安全組織、技術、流程、工具等、組成的完整的安全體系;打造了多項以千鏡安全架構為基礎而孵化出的安全產品與服務,以不斷提升用戶的產品安全體驗。同時,vivo持續保持與監管部門、行業和用戶的透明溝通,以此來檢驗自身的安全工作,為安全能力的提升創造更好的條件。 vivo將過去一段時間內在安全方面的思考與實踐進行沉淀總結,面向全球發布了《vivo安全與隱私保護透明白皮書》。白皮書首次詳細披露了vivo完整的隱私保護體系、透明展示了vivo在安全建設上的努力與決心。 vivo發布《vivo安全與隱私保護透明白皮書》 劉洪善表示,單靠任何一個廠商,是無法滿足所有安全需求的,安全體系需多方共建。除了加強自身安全體系建設,vivo將一貫秉持開放透明的心態,與各方攜手共建安全生態、共推安全產業、共創安全體驗。 架構與工具雙線發力,協同多方角色助推行業安全水平提升 用戶、應用開發者和監管部門是移動互聯網生態中的三個主要角色,他們的安全需求不一,各有側重。為應對不同角色的差異化需求,vivo重點做了兩方面的工作:即構建終端安全產品體系以及開放多款應用安全與隱私保護檢測工具。 vivo安全專家蘇濤詳細介紹了vivo的千鏡安全架構。該架構作為端側安全能力的基座,能夠從芯片層、內核層、框架層和應用層四個層面為安全產品提供系統化保護,進而保障用戶數據安全與隱私。其中,芯片層是千鏡安全架構的基礎,作用是提供金融級的基礎安全能力。在此基礎上,內核層保障系統安全運行,框架層管控應用行為,應用層提供用戶可感知的隱私保護能力。基于千鏡安全架構,vivo孵化出了千鏡可信引擎,它是行業內首個全層級綜合設備可信度分析系統,可以為用戶提供反欺詐防護。 vivo安全專家 蘇濤 vivo本次還發布了三款安全與隱私合規風險檢測工具。分別是輕量化代碼安全掃描插件、多維度自動化應用安全檢測平臺、智能化隱私與合規檢測平臺,它們能在應用開發和測試階段,幫助開發者識別并修復安全與隱私合規風險,助力開發者高效安全開發。 構筑APP全鏈路管控體系,與開發者共建安全合規的移動應用生態 監管部門非常重視個人信息保護,正不斷加強對APP的監管力度。vivo積極落實平臺主體責任,對APP實行生命周期的全鏈路管理,持續為用戶提供權益保護。vivo中國區合規測試負責人黃梁鋒對該管理舉措進行了介紹。 具體管理措施大致可分為三個方面:1.更新審核標準,升級自動化檢測能力,對開發者進行合規宣導;2.執行入庫檢測,同時對存量APP進行巡檢排查;3.經過排查或者接受外部反饋后,對確認存在違規的APP進行責令整改或者處罰。除APP外,快應用和SDK也在管控范圍內,對這三類模塊的合規安全要求基本一致。通過從上架前的全方位測試審核到上架后的嚴格管理,全方位保障了APP全生命周期的安全合規。 vivo中國區合規測試負責人 黃梁鋒 此外,黃梁鋒還分享了日常APP合規安全測試工作,展示了包括個人信息采集、權限彈窗、廣告跳轉等多個合規問題場景,幫助開發者更好的理解合規要求。 vivo愿與開發者共同努力,通過持續完善應用商店個人信息保護管理體系,提升隱私合規意識、完善相關技術能力,為廣大用戶營造更加安全、健康、和諧的APP生態環境,助力行業生態治理工作的有序開展與提升。 行業伙伴分享技術與合作,共話安全生態發展 來自螞蟻集團、亞馬遜云科技、復旦大學的三位安全行業頂尖專家同樣亮相分會場,與開發者們進行安全與隱私實踐交流與分享,共同探討網絡安全生態建設。 螞蟻集團高級安全專家辛知分享了AntDTX中間件技術,及其與vivo協同共治網絡欺詐的合作成果。 AntDTX中間件是一款面向互聯網業務風險的、開放的、安全可信中間件。它既能夠解決像在智能POS機中的密鑰與設備管理的合規問題,又能與手機合作伙伴一起在欺詐等業務風控領域實現聯合的治理,實現終端安全業務的統一。 螞蟻集團高級安全專家 辛知 螞蟻安全實驗室通過將AntDTX.Risk的策略與能力嵌入到vivo的千鏡可信引擎中,兩者優勢互補,共同來實現對欺詐類應用的純端檢測與預警。該聯合方案首次部署到了vivo今年4月份的發布的X Fold和X Note上。隨著數月的覆蓋擴展與升級,截止2022年9月30日,該聯合方案已經覆蓋vivo手機量超過400萬臺,日均識別潛在風險交易超過2100筆,大大提升了用戶的支付安全體驗。 亞馬遜云安全布道師江學森做了題為“將安全嵌入到提升開發者體驗之中“的分享,介紹了云安全守護者計劃以及亞馬遜云服務對vivo安全工作的助力。 亞馬遜云安全布道師 江學森 云安全守護者計劃是指,通過內部培訓,提高開發者的安全知識儲備,引導開發者從安全的角度去思考和解決問題,進而將安全嵌入到應用開發的全流程中。該計劃總共培訓了2000多名開發者,成效顯著,所發現的中級和高級的安全漏洞和事件減少了22.5%,端到端安全審查的時間減少了26.9%。 亞馬遜云助力 vivo 構建了牢固的云上防護體系,能更好地保護消費者數據安全與隱私。此外,亞馬遜云還通過云計算賦能vivo全球營銷系統,提供云廠商機房、云資源按需彈性使用、基礎設施云托管、云廠商跨多區域部署方案等多種助力。 復旦大學副教授張源分享了其團隊在開源代碼漏洞治理上的工作及其與vivo的合作。 復旦大學副教授 張源 由于開源軟件供應鏈的引入,移動智能操作系統的漏洞治理已成為一件非常棘手的問題。張源教授的團隊主要從三個層面開展工作。對于上游開源軟件社區,研究高效的漏洞挖掘技術;從上下游依賴的角度,針對上游開源漏洞的信息進行增強,為下游漏洞治理提供數據支撐;針對下游系統,研究面向系統鏡像的漏洞危害評估技術。以上這些漏洞治理工作的成果效果也非常顯著,助推了移動安全生態的發展。 為提升手機操作系統的安全性,張源教授團隊聯合vivo安全團隊開發了一款適配原 OS的安全漏洞評估框架。vivo手機操作系統在出廠前會經過此系統的安全掃描,保障vivo手機用戶的數據和財產安全。 攜手共贏,vivo頒發2022最佳安全合作伙伴獎項 vivo今年首次在安全與隱私專場舉行了合作伙伴頒獎儀式,對和vivo一起為億萬用戶安全與隱私保護做出杰出貢獻的合作伙伴們頒發了最佳安全技術合作伙伴和最佳安全業務合作伙伴獎項,以示表彰和感謝。 vivo將堅持與伙伴共同成長、攜手構建更安全的新生態、共同推動全行業安全隱私保護水平提升,更好的保護用戶安全與隱私。 |
