為開發者生態保駕護航，讓產品安全可信賴丨2020 OPPO開發者大會安全專場

9月24日，2020 OPPO開發者大會安全專場在線上舉辦。OPPO安全團隊帶來覆蓋軟件系統、應用產品、IoT等多個領域的安全內容分享，通過在不同領域的安全建設，維護全體開發者與合作伙伴的利益，并持續為用戶提供可信賴的、安全的產品。

OPPO安全為開發者生態保駕護航

在過去的一年，OPPO安全團隊累計攔截攻擊超過3000億次，相當于每秒抵擋9500次攻擊，打擊黑灰APP超過500款，有利地保證了全體開發者和與合作伙伴的利益。以上成績，離不開OPPO安全團隊從技術創新上的努力。

OPPO安全深度研究安全攻防技術動態，通過AI+大數據進一步提升對惡意行為畫像和識別能力，持續通過全球安全生態協同，對抗并打擊惡意攻擊行為。在打擊黑產方面，OPPO安全團隊經過半年的研發，上線了全新的、多引擎融合的安全與隱私檢測平臺，自主研發識別引擎以及三方安全識別引擎。通過多套引擎融合檢測，配合安全隱私標準，實現對于黑產APP和惡意APP更準確的自動化識別。通過OPPO安全的立體安全防護體系的建設，為整個開發者生態的穩定可靠運行保駕護航。

OPPO非常重視自身產品和服務的安全性，致力于打造安全可靠產品和保護用戶的隱私。在開發者生態構建方面，一直致力于打造綠色生態環境，對于黑產和惡意行為零容忍，堅決維護全體開發者和合作伙伴的利益。

OPPO建立健全快應用的安全與隱私檢測

快應用是一種基于手機硬件平臺的應用形態，使用前端技術棧開發，允許用戶無需下載安裝APP便可以即點即用。快應用便捷的產品特性受到用戶喜愛，已覆蓋超過10億設備，并在不斷延伸至其它智能終端使用。隨著快應用的市場覆蓋越來越廣，快應用安全與隱私問題日益凸顯。

在快應用安全專題中，OPPO子午互聯網安全實驗室對快應用的安全與隱私進行了分析研究，并闡述了分析方法、檢測項、常見安全與隱私問題，希望能夠對業界開展快應用安全與隱私工作帶來啟發和幫助。同時，介紹了Zipperdown 漏洞、日志打印個人敏感信息、使用不安全的外部存儲、使用不安全的下載、任意網頁加載、exchange 接口誤用等多個快應用典型漏洞，并分享給開發者相應的應對方案。

此外，OPPO子午互聯網安全實驗室開發的快應用工具rpktool也在安全專場正式亮相。據介紹，rpktool是一款用于解包、調試、重打包快應用的工具，能夠實現解包時對js代碼進行美化和分析，輔助相關人員進行安全與隱私合規測試。

OPPO推出基于TA的移動終端密鑰安全服務OMKM

隨著移動互聯網的日趨完善以及云計算、大數據等技術的落地，互聯網應用向無線領域不斷延伸和發展，移動終端密鑰安全問題同樣備受關注。安全的終端密鑰管理機制是通信數據安全的關鍵問題，目前大多數密鑰管理方案僅僅關注了密鑰在協議層面上的安全性，很少或沒有考慮密鑰在移動終端的存儲過程和使用過程中的安全性。

為了解決移動終端密鑰安全需求，OPPO推出了移動終端密鑰安全服務——OMKM。OMKM的架構分為客戶端和服務端兩個部分。其中，客戶端由Android下的OMKM SDK、Android下的OMKM Service以及TEE下的OMKM TA構成，基于TA的移動終端密鑰安全服務，為開發者提供密鑰全生命周期管理，提升業務數據和用戶隱私的安全性;在服務端，則主要包含部署在業務側后臺的OMKMS SDK和部署在OMKM后臺的service。

OMKM旨在為業務數據和用戶隱私提供更安全、便捷的安全密鑰服務。一方面，OMKM能夠為開發者提供可信執行環境，從而保證密鑰在使用、存儲時的安全性，有效防止運行時的密鑰泄漏;另一方面，對密鑰進行分層管理，層次化密鑰結構更有利于密鑰的安全管理，適合多種密鑰應用場景;此外，密鑰管理對業務透明，使開發者專注應用功能實現和業務邏輯優化，為產品提供全生命周期密鑰管理;最后，在多設備支持方面，為IoT設備、移動終端等提供了安全密鑰管理服務，并增強數據網絡傳輸和本地存儲的安全性。

OPPO IoT終端安全協作，共建安全的智能化生活

隨著運營商IPv6的部署，IoT規模將進一步擴大。由于IoT的應用、設備涉及的業務多種多樣，特性各不相同，使得整體攻擊面更大，IoT安全的復雜度、困難度也相對較高。

為此，OPPO投入技術資源，跟進IoT底層協議安全進展，為OPPO的IoT產品選擇合適的安全方案，并積極參與CCSA、TAF等國內標準組織對IoT產品的安全標準制定。OPPO建設的HeyThings IoT平臺，也向開發者及合作伙伴開放，讓應用開發人員也可以參與到IoT的生態建設。

同時，OPPO安全團隊也十分注重行業聯盟的合作。以車聯網功能融合為例，OPPO積極參與了國際汽車連通性聯盟(CCC)支持下一代的數字車鑰匙，未來將與車輛廠商合作，在OPPO終端產品上逐步部署。此外，OPPO還參與了行業互傳聯盟，進行了協議層、軟件層的協同，保證跨廠商終端用戶的文件傳輸體驗。

OPPO希望以用戶、廠商、硬件供應商為基礎，結合應用開發者、白帽子、安全服務提供商的安全能力，在監管部門、標準組織、聯盟組織的合作推動下，通過IoT生態鏈條上各相關方的協作，不斷提升IoT終端的安全水平，攜手共建安全的智能化生活。

發布《ColorOS安全白皮書》，持續為用戶提供安全可信的合規產品

在2020 OPPO開發者大會上，OPPO正式發布了ColorOS 11。ColorOS為用戶提供無邊界的體驗和感受時，必須同時保護用戶數據。OPPO從意識、流程、技術、標準組織等多維度持續構建以安全為核心之一的CorlorOS，為用戶提供可信賴的、安全的產品。

據OPPO安全團隊介紹，OPPO軟件研發總人數已超過六千人，下設六大國內外研究所，在軟件、硬件及標準三大領域展開研究工作，為用戶提供高效、智能而富有設計感的ColorOS手機操作系統。OPPO副總裁&軟件工程事業部總裁吳恒剛表示：“對公司來說，安全合規尤其重要，它是紅線中的紅線。未來軟件要成為全球可信賴的品牌基礎，就要把安全能力構建好”。

全新的ColorOS系統搭載OPPO端云協同的加密密鑰技術，通過AI+大數據技術來提升軟件安全對抗能力，為用戶體驗保駕護航。安全可信賴的ColorOS，不僅帶來諸多保護用戶隱私與數據安全的新功能，并取得了ISO、ePrivacy以及TrustArc等國際標準機構的認證。

為了讓用戶能夠更加了解OPPO產品的安全和隱私合規態度和能力，并與用戶進行更加深入的互動，OPPO特發布《ColorOS安全白皮書》。該白皮書采用通俗易懂的語言，展現OPPO對安全的認識和洞察，分層分領域介紹安全功能的背景、價值和安全性。

未來，OPPO安全團隊將繼續堅持以保護用戶信息為核心，加深加強攻防分析和可信技術研究，落地業界優秀實踐和保護方法，持續為用戶提供安全可信和合規的產品。

免責聲明：市場有風險，選擇需謹慎!此文僅供參考，不作買賣依據。

標簽：