武漢寫(xiě)字樓市場(chǎng)換遷活躍，MFG服務(wù)式辦公為企業(yè)創(chuàng )造靈活可定制職場(chǎng)

　　11月9日，以“MORE，近你所想”為主題的2022 vivo開(kāi)發(fā)者大會(huì )開(kāi)啟分會(huì )場(chǎng)的討論。在安全隱私分會(huì )場(chǎng)上，來(lái)自vivo的安全專(zhuān)家和行業(yè)伙伴一起與開(kāi)發(fā)者們分享了過(guò)去一年里vivo在安全隱私保護建設上的實(shí)踐及成果。

　　安全隱私之路沒(méi)有盡頭，vivo將不懈追求

　　數字化時(shí)代，安全隱私問(wèn)題已成為人們關(guān)注的焦點(diǎn)，也是社會(huì )各層面需要共同面對和解決的難題。這一背景下，用戶(hù)安全隱私意識的不斷覺(jué)醒，促進(jìn)了以用戶(hù)為導向的、以數據安全與隱私保護為核心的安全體系的發(fā)展。

　　vivo安全總監劉洪善在開(kāi)場(chǎng)演講中與大家分享了vivo的安全新范式，包括安全認知、基礎安全體系、安全體驗和透明溝通四個(gè)方面。

vivo安全總監 劉洪善

　　自上而下的安全戰略與原則，是一切安全工作的起點(diǎn)。vivo把數據安全、隱私保護與守法合規作為企業(yè)研發(fā)經(jīng)營(yíng)活動(dòng)中絕對不可以觸碰的紅線(xiàn)和基本底線(xiàn)，來(lái)指導各項工作的開(kāi)展。vivo在新發(fā)布的《vivo 2021年可持續發(fā)展報告》中，將信息安全和用戶(hù)隱私保護列為重要性最高的兩個(gè)課題，進(jìn)一步提升了這一戰略的高度，保障公司在安全隱私上的投入。同時(shí)，透明可控、隱私端側處理、數據最小化作為vivo的隱私保護三原則，也在其不斷的實(shí)踐探索中得到了豐富?；谏鲜霭踩J知，vivo構建了安全組織、技術(shù)、流程、工具等、組成的完整的安全體系;打造了多項以千鏡安全架構為基礎而孵化出的安全產(chǎn)品與服務(wù)，以不斷提升用戶(hù)的產(chǎn)品安全體驗。同時(shí)，vivo持續保持與監管部門(mén)、行業(yè)和用戶(hù)的透明溝通，以此來(lái)檢驗自身的安全工作，為安全能力的提升創(chuàng )造更好的條件。

　　vivo將過(guò)去一段時(shí)間內在安全方面的思考與實(shí)踐進(jìn)行沉淀總結，面向全球發(fā)布了《vivo安全與隱私保護透明白皮書(shū)》。白皮書(shū)首次詳細披露了vivo完整的隱私保護體系、透明展示了vivo在安全建設上的努力與決心。

vivo發(fā)布《vivo安全與隱私保護透明白皮書(shū)》

　　劉洪善表示，單靠任何一個(gè)廠(chǎng)商，是無(wú)法滿(mǎn)足所有安全需求的，安全體系需多方共建。除了加強自身安全體系建設，vivo將一貫秉持開(kāi)放透明的心態(tài)，與各方攜手共建安全生態(tài)、共推安全產(chǎn)業(yè)、共創(chuàng )安全體驗。

　　架構與工具雙線(xiàn)發(fā)力，協(xié)同多方角色助推行業(yè)安全水平提升

　　用戶(hù)、應用開(kāi)發(fā)者和監管部門(mén)是移動(dòng)互聯(lián)網(wǎng)生態(tài)中的三個(gè)主要角色，他們的安全需求不一，各有側重。為應對不同角色的差異化需求，vivo重點(diǎn)做了兩方面的工作：即構建終端安全產(chǎn)品體系以及開(kāi)放多款應用安全與隱私保護檢測工具。

　　vivo安全專(zhuān)家蘇濤詳細介紹了vivo的千鏡安全架構。該架構作為端側安全能力的基座，能夠從芯片層、內核層、框架層和應用層四個(gè)層面為安全產(chǎn)品提供系統化保護，進(jìn)而保障用戶(hù)數據安全與隱私。其中，芯片層是千鏡安全架構的基礎，作用是提供金融級的基礎安全能力。在此基礎上，內核層保障系統安全運行，框架層管控應用行為，應用層提供用戶(hù)可感知的隱私保護能力?；谇хR安全架構，vivo孵化出了千鏡可信引擎，它是行業(yè)內首個(gè)全層級綜合設備可信度分析系統，可以為用戶(hù)提供反欺詐防護。

vivo安全專(zhuān)家 蘇濤

　　vivo本次還發(fā)布了三款安全與隱私合規風(fēng)險檢測工具。分別是輕量化代碼安全掃描插件、多維度自動(dòng)化應用安全檢測平臺、智能化隱私與合規檢測平臺，它們能在應用開(kāi)發(fā)和測試階段，幫助開(kāi)發(fā)者識別并修復安全與隱私合規風(fēng)險，助力開(kāi)發(fā)者高效安全開(kāi)發(fā)。

　　構筑APP全鏈路管控體系，與開(kāi)發(fā)者共建安全合規的移動(dòng)應用生態(tài)

　　監管部門(mén)非常重視個(gè)人信息保護，正不斷加強對APP的監管力度。vivo積極落實(shí)平臺主體責任，對APP實(shí)行生命周期的全鏈路管理，持續為用戶(hù)提供權益保護。vivo中國區合規測試負責人黃梁鋒對該管理舉措進(jìn)行了介紹。

　　具體管理措施大致可分為三個(gè)方面：1.更新審核標準，升級自動(dòng)化檢測能力，對開(kāi)發(fā)者進(jìn)行合規宣導;2.執行入庫檢測，同時(shí)對存量APP進(jìn)行巡檢排查;3.經(jīng)過(guò)排查或者接受外部反饋后，對確認存在違規的APP進(jìn)行責令整改或者處罰。除APP外，快應用和SDK也在管控范圍內，對這三類(lèi)模塊的合規安全要求基本一致。通過(guò)從上架前的全方位測試審核到上架后的嚴格管理，全方位保障了APP全生命周期的安全合規。

vivo中國區合規測試負責人 黃梁鋒

　　此外，黃梁鋒還分享了日常APP合規安全測試工作，展示了包括個(gè)人信息采集、權限彈窗、廣告跳轉等多個(gè)合規問(wèn)題場(chǎng)景，幫助開(kāi)發(fā)者更好的理解合規要求。

　　vivo愿與開(kāi)發(fā)者共同努力，通過(guò)持續完善應用商店個(gè)人信息保護管理體系，提升隱私合規意識、完善相關(guān)技術(shù)能力，為廣大用戶(hù)營(yíng)造更加安全、健康、和諧的APP生態(tài)環(huán)境，助力行業(yè)生態(tài)治理工作的有序開(kāi)展與提升。

　　行業(yè)伙伴分享技術(shù)與合作，共話(huà)安全生態(tài)發(fā)展

　　來(lái)自螞蟻集團、亞馬遜云科技、復旦大學(xué)的三位安全行業(yè)頂尖專(zhuān)家同樣亮相分會(huì )場(chǎng)，與開(kāi)發(fā)者們進(jìn)行安全與隱私實(shí)踐交流與分享，共同探討網(wǎng)絡(luò )安全生態(tài)建設。

　　螞蟻集團高級安全專(zhuān)家辛知分享了AntDTX中間件技術(shù)，及其與vivo協(xié)同共治網(wǎng)絡(luò )欺詐的合作成果。

　　AntDTX中間件是一款面向互聯(lián)網(wǎng)業(yè)務(wù)風(fēng)險的、開(kāi)放的、安全可信中間件。它既能夠解決像在智能POS機中的密鑰與設備管理的合規問(wèn)題，又能與手機合作伙伴一起在欺詐等業(yè)務(wù)風(fēng)控領(lǐng)域實(shí)現聯(lián)合的治理，實(shí)現終端安全業(yè)務(wù)的統一。

螞蟻集團高級安全專(zhuān)家 辛知

　　螞蟻安全實(shí)驗室通過(guò)將AntDTX.Risk的策略與能力嵌入到vivo的千鏡可信引擎中，兩者優(yōu)勢互補，共同來(lái)實(shí)現對欺詐類(lèi)應用的純端檢測與預警。該聯(lián)合方案首次部署到了vivo今年4月份的發(fā)布的X Fold和X Note上。隨著(zhù)數月的覆蓋擴展與升級，截止2022年9月30日，該聯(lián)合方案已經(jīng)覆蓋vivo手機量超過(guò)400萬(wàn)臺，日均識別潛在風(fēng)險交易超過(guò)2100筆，大大提升了用戶(hù)的支付安全體驗。

　　亞馬遜云安全布道師江學(xué)森做了題為“將安全嵌入到提升開(kāi)發(fā)者體驗之中“的分享，介紹了云安全守護者計劃以及亞馬遜云服務(wù)對vivo安全工作的助力。

亞馬遜云安全布道師 江學(xué)森

　　云安全守護者計劃是指，通過(guò)內部培訓，提高開(kāi)發(fā)者的安全知識儲備，引導開(kāi)發(fā)者從安全的角度去思考和解決問(wèn)題，進(jìn)而將安全嵌入到應用開(kāi)發(fā)的全流程中。該計劃總共培訓了2000多名開(kāi)發(fā)者，成效顯著(zhù)，所發(fā)現的中級和高級的安全漏洞和事件減少了22.5%，端到端安全審查的時(shí)間減少了26.9%。

　　亞馬遜云助力 vivo 構建了牢固的云上防護體系，能更好地保護消費者數據安全與隱私。此外，亞馬遜云還通過(guò)云計算賦能vivo全球營(yíng)銷(xiāo)系統，提供云廠(chǎng)商機房、云資源按需彈性使用、基礎設施云托管、云廠(chǎng)商跨多區域部署方案等多種助力。

　　復旦大學(xué)副教授張源分享了其團隊在開(kāi)源代碼漏洞治理上的工作及其與vivo的合作。

復旦大學(xué)副教授 張源

　　由于開(kāi)源軟件供應鏈的引入，移動(dòng)智能操作系統的漏洞治理已成為一件非常棘手的問(wèn)題。張源教授的團隊主要從三個(gè)層面開(kāi)展工作。對于上游開(kāi)源軟件社區，研究高效的漏洞挖掘技術(shù);從上下游依賴(lài)的角度，針對上游開(kāi)源漏洞的信息進(jìn)行增強，為下游漏洞治理提供數據支撐;針對下游系統，研究面向系統鏡像的漏洞危害評估技術(shù)。以上這些漏洞治理工作的成果效果也非常顯著(zhù)，助推了移動(dòng)安全生態(tài)的發(fā)展。

　　為提升手機操作系統的安全性，張源教授團隊聯(lián)合vivo安全團隊開(kāi)發(fā)了一款適配原 OS的安全漏洞評估框架。vivo手機操作系統在出廠(chǎng)前會(huì )經(jīng)過(guò)此系統的安全掃描，保障vivo手機用戶(hù)的數據和財產(chǎn)安全。

　　攜手共贏(yíng)，vivo頒發(fā)2022最佳安全合作伙伴獎項

　　vivo今年首次在安全與隱私專(zhuān)場(chǎng)舉行了合作伙伴頒獎儀式，對和vivo一起為億萬(wàn)用戶(hù)安全與隱私保護做出杰出貢獻的合作伙伴們頒發(fā)了最佳安全技術(shù)合作伙伴和最佳安全業(yè)務(wù)合作伙伴獎項，以示表彰和感謝。

　　vivo將堅持與伙伴共同成長(cháng)、攜手構建更安全的新生態(tài)、共同推動(dòng)全行業(yè)安全隱私保護水平提升，更好的保護用戶(hù)安全與隱私。