机制|了解广告SDK工作机制，保护APP自身安全( 三 )_

事实上，现在的做法也是这样的。一般开发者对接广告SDK的时候都会对SDK进行审查，但对于不是很了解广告行业或者技术能力不足的开发者，在SDK审查上，既有顾虑又可能无从下手，这里AdScope在SDK核查方面给出一些方法，以便于开发者操作。
五、广告SDK的核查广告SDK的核查工作概括起来主要有两个方面：一查什么？二怎么查？
1. 查什么？1）来源安全性评估
SDK提供者的基本信息，沟通反馈渠道，隐私政策链接地址，提供者安全能力，SDK基本功能，SDK版本号等。
2）代码安全性评估
是否存在已知的恶意代码，是否存在已知的安全漏洞，是否申请敏感权限，是否嵌入其他SDK。
3）行为安全性评估
调用的敏感权限、目的和频率，收集的个人信息类型、目的和频率，个人信息回传服务器域名、IP地址、所在地域，是否存在热更新行为及热更新是否可主动关闭，传输数据是否加密，是否存在单独收集用户个人信息的界面，是否存在后台自动启动和关联启动后收集个人信息的行为等。
2. 怎么查？1）文档审核
在接入SDK前，对广告SDK开发者提供的文档进行核查，根据前面提到的几项主要内容，对照文档查看是否都符合要求，还有双方未达成一致或有争议的内容。
2）工具抓包
接入SDK后，在进行测试过程中，使用工具对广告SDK网络工作流进行抓包操作。通过抓包主要验证安全性评估内容，并查看是否有在文档和商务谈判中未涉及到的隐秘及可疑行为。
市面上的抓包工具很多，这里主要介绍适合移动端开发者使用的抓包工具，Charles，Fiddler，Replica（移动端APP），这三款都不错，这里比较推荐Charles，它支持Windows，Mac，Linux，安装使用简单，功能强大。
3）第三方认证
通过具有安全审核资质的第三方公司来对广告SDK进行审核工作，出具第三方评估报告，一般也是在接入后的测试环节进行。第三方认证机构也很多，比如360安全专家、网易易盾、腾讯安全等，但很多第三方的机构都是付费的。
作为一种对接方式，广告SDK在APP商业化变现的过程中扮演重要的角色，在移动广告事业的发展中也起着非常关键的作用。正是由于SDK在移动广告行业中的广泛使用，才创造了移动互联网广告市场的万亿规模，为社会带来巨大的经济价值。
SDK创造的价值不应被忽视，而只谈影响，SDK需要的是监管和合规，而不是取缔。欣喜的是，政府及监管部门正在出台多项法律法规积极治理，相信不久的将来，SDK将迎来一个净化过的市场环境，App开发者与SDK开发者终将以建立互信的商业合作关系。
本文由 @ADSCOPE 原创发布于人人都是产品经理，未经作者许可，禁止转载。
题图来自Unsplash，基于CC0协议