作者 / Patrick Mutchler 和 Meghan Kelly, Android 安全和隱私團隊

幫助 Android 應用開發者構建 "零漏洞" 的安全應用有助于推動整個生態系統的健康發展。所以，我們在 5 年前啟動了應用安全改進計劃，項目發展至今，收獲了許多成功，也讓我們更加堅定了繼續投入的決心。

Android 安全改進計劃介紹

當應用提交到 Google Play 商店后，我們會掃描并檢查應用是否存在安全漏洞。一旦發現應用存在潛在威脅，我們會立即通知開發人員，并協助他們修復這些問題。

您可以把這整個過程想象成一次 "例行健康檢查": 如果掃描未發現任何問題，應用便可進入接下來的常規測試及 Play Store 發布環節；如果檢查出問題，我們便會提供診斷說明，并進行后續的修復工作。

迄今為止，安全改進計劃已幫助 30 多萬名開發者共修復了超過 100 萬個應用。僅在 2018 年，受益的開發者就達 3 萬余人，修復的應用數量總計超過 75 萬。這意味著我們為用戶解決了至少 75 萬個安全隱患，對于我們而言確實是一場漂亮的勝仗。

計劃涵蓋的安全漏洞類型

應用安全改進計劃涵蓋了Android 應用中的各種安全威脅，小到某特定版本開發庫中的安全問題 (例如 CVE-2015-5256)，大到 TLS/SSL 證書驗證漏洞。

我們一直在努力提升項目質量，在優化現有檢查功能的同時，針對新類型安全漏洞引入更多檢查項目。在 2018 年，我們為以下六類安全漏洞添加了警告:

1. SQL 注入漏洞
2. 基于文件的跨站點腳本漏洞
3. 跨應用腳本漏洞
4. 第三方證書泄露漏洞
5. 挾持漏洞
6. 接口注入漏洞

我們的首要任務是將項目繼續推行下去，幫助開發者做好萬全準備，以應對新的安全威脅。這同樣也是我們在 2019 年的工作重點。

保障 Android 用戶安全是 Google 的重要使命。我們知道安全問題通常十分棘手，開發者在編寫應用的過程中也難免會犯錯。我們希望這個項目能在未來幾年內不斷發展，助力全球開發者為用戶帶去值得信賴的應用。

點擊這里了解更多 P&E 相關產品內容