作者 / Patrick Mutchler 和 Meghan Kelly, Android 安全和隐私团队

帮助 Android 应用开发者构建 "零漏洞" 的安全应用有助于推动整个生态系统的健康发展。所以，我们在 5 年前启动了应用安全改进计划，项目发展至今，收获了许多成功，也让我们更加坚定了继续投入的决心。

Android 安全改进计划介绍

当应用提交到 Google Play 商店后，我们会扫描并检查应用是否存在安全漏洞。一旦发现应用存在潜在威胁，我们会立即通知开发人员，并协助他们修复这些问题。

您可以把这整个过程想象成一次 "例行健康检查": 如果扫描未发现任何问题，应用便可进入接下来的常规测试及 Play Store 发布环节；如果检查出问题，我们便会提供诊断说明，并进行后续的修复工作。

迄今为止，安全改进计划已帮助 30 多万名开发者共修复了超过 100 万个应用。仅在 2018 年，受益的开发者就达 3 万余人，修复的应用数量总计超过 75 万。这意味着我们为用户解决了至少 75 万个安全隐患，对于我们而言确实是一场漂亮的胜仗。

计划涵盖的安全漏洞类型

应用安全改进计划涵盖了Android 应用中的各种安全威胁，小到某特定版本开发库中的安全问题 (例如 CVE-2015-5256)，大到 TLS/SSL 证书验证漏洞。

我们一直在努力提升项目质量，在优化现有检查功能的同时，针对新类型安全漏洞引入更多检查项目。在 2018 年，我们为以下六类安全漏洞添加了警告:

1. SQL 注入漏洞
2. 基于文件的跨站点脚本漏洞
3. 跨应用脚本漏洞
4. 第三方证书泄露漏洞
5. 挟持漏洞
6. 接口注入漏洞

我们的首要任务是将项目继续推行下去，帮助开发者做好万全准备，以应对新的安全威胁。这同样也是我们在 2019 年的工作重点。

保障 Android 用户安全是 Google 的重要使命。我们知道安全问题通常十分棘手，开发者在编写应用的过程中也难免会犯错。我们希望这个项目能在未来几年内不断发展，助力全球开发者为用户带去值得信赖的应用。

点击这里了解更多 P&E 相关产品内容