文|三易生活

不久前在央视315晚上曝光了上海氪信与北京招彩旺旺两家公司，使用SDK插件在用户不知情的情况下窃取个人隐私之后，将SDK这一很多消费者所不了解的事物摆上了台前之后。也让大家知道了在智能手机中，除了不法APP会超范围收集用户隐私信息之外，还有SDK这样一个东西可能会在不知不觉中窃取信息。

很显然，在315晚会中曝光的上海氪信和北京招彩旺旺仅仅是目前国内SDK领域乱象的缩影，因此为了行业的健康与可持续发展，让SDK合规化也被提上日程。就在8月20日，《移动互联网应用程序(APP)SDK安全指南》（以下简称《指南》）编制工作研讨会在北京召开，而这也是国内首个关于SDK安全的国家标准项目。

据悉，这份《指南》将根据《中华人民共和国网络安全法》等相关法律法规，从SDK安全开发、SDK个人信息安全、App集成安全等方面，提出SDK控制者在开发、运营、个人信息处理、数据安全管理，以及跨境管理等环节应遵循的原则与安全措施。

众所周知，智能手机与功能机最大的不同之处，就在于智能手机是可以通过苹果App Store以及Android阵营中诸如豌豆荚、应用宝等应用商店搜寻下载并安装APP的。也正是这些功能各异、形态多变的APP，极大的丰富了整合移动互联网的世界。

在如今瞬息万变的互联网市场中，从业者大多都在以“快”建立市场的主导优势，同一赛道的产品，先进入的也更容易获得先发优势。那么如何加快APP的开发速度呢？让程序员进入“996”状态无疑并不具备可持续性。因此为了提升开发效率、降低开发成本，厂商往往会选择使用SDK这种典型的to B产品。

SDK全称为Software Development Kit，广义上SDK是为特定软件包、软件框架、硬件平台、操作系统等建立应用程序时，所使用的开发工具链。而狭义上的SDK，则是为辅助开发某类软件而编写的特定软件包，也可以理解为是一堆API（一个预先定义好的函数，用来解决编程中的某个特定问题）的集合，因此也避免了开发者“重复造轮子”的烦恼。

简单来说，几乎我们每个人使用的APP都是程序员利用SDK，结合API最终实现某种需求的结果。比如说，我们三易生活开发出一款一键登录的SDK，这时候作为程序员的大雄被产品经理胖虎要求，想办法节省用户登录他们公司游戏所需要的时间，大雄如果想要给游戏开发出一键登录功能，但又不可能从头开始写代码，就会把情况反馈给胖虎，让他去联系商务专员静香，找到我们三易生活购买这款SDK，来实现这一功能。

如今，标准化、可复用的SDK产品广泛提高了开发团队开发APP的效率。开发者使用SDK来让APP拥有分享、支付、推送、数据统计，以及登录等功能，也已经变得非常的普遍。但当APP想要使用SDK带来的便捷功能时，就不可避免的需要与SDK提供方进行数据的交互，所以SDK的提供方如果想要在被使用的APP中做点手脚，就实在是太简单，很多情况下甚至不需要侵入业务代码，就可以实现诸如抓取用户点击事件、性能数据，以及运行异常崩溃等事件。

对于这一点，其实很多开发者也是心知肚明的。那么为什么开发者不能对这种现象说不呢？一方面，是因为目前在整个互联网行业都在强调“快”的情况下，不使用SDK对于中小开发者来说在成本上是无法接受的；而另一方面，目前Android也开始执行了着更为严格的后台限制，在Android O之后系统不再让不必要的APP驻留后台的情况下，SDK其实是不少APP“保活”的重要武器。一旦APP被杀后台怎么办？这时候，其他驻留后台的APP中只要有使用了同款带有“保活”功能SDK的APP存在，后者就会将被关闭的APP启动。

因此在SDK提供方与APP开发者成为利益共同体的情况下，指望他们的自觉无疑是不现实的，因此这才有了这份作为国家标准项目的《指南》。目前，标准会被分为国家标准、行业标准、地方标准和企业标准，通常是以国家标准为基础、行业标准为提高、企业标准为引领，在这其中，国家标准则是规定基础与通用的内容。

因此如果这份《指南》能够最终推出，在包括中国电子技术标准化研究院和中国网络安全审查技术与认证中心等官方机构，以及阿里、腾讯、华为、小米、360等知名国内互联网企业的支持之下，就能在一定程度上指导SDK的设计与分发中应该遵循哪些规范。

对于开发者来说，尽管未来将可能再没有保活，但大家也都站在了同一起跑线上，还不需要与SDK提供方各种斗智斗勇和勾心斗角。

而对于用户来说，SDK窃取用户信息的情况势必将会得到遏制，也不再需要担心自己的隐私会在不经意间就被盗走了。