图片106

广告SDK的验证主要有两个方面：一是验证什么？二是如何验证？

1.验证什么？

1)源安全评估。

SDK提供者基本信息、沟通反馈渠道、隐私政策链接地址、提供者安全能力、SDK基本功能、SDK版本号等。

2)代码安全评估。

是否有已知的恶意代码，是否有已知的安全漏洞，是否申请敏感权限，是否嵌入其他SDK。

3)行为安全评估。

调用敏感权限、目的和频率、收集个人信息类型、目的和频率、个人信息返回服务器域名、IP地址、区域、是否有热更新行为和热更新可以主动关闭、传输数据加密、是否单独收集用户个人信息界面、背景自动启动和相关启动收集个人信息等。

2.怎么验证？

1)文档审核。

在访问SDK之前，检查广告SDK开发人员提供的文档。根据上述主要内容，检查文档是否符合要求，双方是否达成协议或有争议。

2)工具抓包。

访问SDK后，在测试过程中，使用工具抓取广告SDK网络工作流的包。通过抓取包，主要验证安全评价内容，检查文件和商务谈判中是否存在未涉及的秘密和可疑行为。

市场上有很多抓包工具。这里主要介绍适合移动开发者的抓包工具，包括charles、Fiddler和Replica。

3)第三方认证。

通过具有安全审计资格的第三方公司对广告SDK进行审计，并出具第三方评估报告，通常在访问后的测试环节进行。还有许多第三方认证机构，但第三方机构都需要付费。

广告SDK作为一种对接方式，在APP商业化实现过程中发挥着重要作用，在移动广告的发展中也发挥着非常关键的作用。正是由于SDK在移动广告行业的广泛应用，创造了移动互联网广告市场的万亿规模，为社会带来了巨大的经济价值。

SDK创造的价值不应被忽视，而只是影响。SDK需要的是监管和合规，而不是禁止。令人欣慰的是，政府和监管机构正在出台一些积极治理的法律法规。我相信，在不久的将来，SDK将迎来一个净化的市场环境。应用程序开发人员和SDK开发人员最终将建立互信的商业合作关系。