freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

App安全合规的思考(三)如何做好App整改应急响应工作
2021-05-06 23:51:44

起了这个名字,主要是必须要加重这项工作的重要程度。前些天刚刚经历了一场应急响应工作,这两天看到通报的名单中没有自己公司的APP,感觉一切都是值得的。

此次整理的流程和内容均都是和Anna、云云、lpy共同完成。下文主要针对工信部的通报,其他的可参考。

0 应急工作涉及人员

经过这次紧急的整改,让我深深了解到整改不是某一方加班加点工作就能解决的,而是需要多方共同努力。渠道及时发现整改通知并及时组建应急响应小组,法务及安全合规能在拿到整改内容前提前定位问题并给出响应的处理意见,业务及中台积极寻求解决办法,GR积极与监管机构沟通争取最大宽限。(有点感动,配合的好好呀~

image

所以说,被通知整改要涉及到很多部门,上线前完成整改并合规才是最完美的。

1 应急流程

之所以被窝称为应急,是因为此次从被发函通知整改到渠道上架只有5-7天(包含节假日),抛去封包、提包的时间,大概也就3天时间了,目前只有部分渠道支持节假日加班审包(哭,具体渠道忘记了)。
image

如果第一次整改通过就不会出现在对外的通报里,但如果整改未通过就被公示通报并会给予第二阶段的整改期,如果此次整改期过还未通过整改,就会被公示下架了。

注意事项

有少部分被通报的App是因为渠道同学没有看到邮箱里的邮件,错过了最佳的整改期限。建议在渠道留下公司邮箱,或者邮件组。

收到整改通知→拿到整改通知详情需要一定的时间,一定要利用这段时间,做好问题预判,提前开始修改。

同意前收集个人信息、权限等问题,如果是通过中台SDK进行打包,可以找收敛处统一处理,会简单很多。(具体会放在SDK合规文章里具体聊)

渠道SDK问题,可以通过沟通,看是否可以推动渠道SDK整改。(这绝对是一个很艰难的工作,但绝大部分都是很配合的~

2 整改过程中遇到的问题

最后,跟大家分享下,在此次整改过程中遇到的一些问题,希望可以帮到大家。

没走过整改流程,如何在平台上获取通知,提包测试等流程不清楚。(比如里边需要填写整改报告、法人手写签字函件等等;

渠道SDK问题很多,所以第一步先要找到有问题的包,快速定位问题,是渠道SDK问题还是母包的问题;

渠道SDK问题,绝大部分渠道做不到在整改期内完成合规性整改,如何应对;

用章流程很慢、法人手签不能短时间拿到;

App两年未升级了,开发离职了,参与整改的技术人员不了解业务,如何在短时间内排查问题并修改;

3 写在最后

一定要提前体检,当了解了自己才能在出现问题时不那么慌张,所以针对公司业务的详细梳理必须马上提上日程;

App安全合规工作越来越受重视,如何让业务积极配合也十分重要,相关流程落地和人员培训也必须跟上~

# 安全合规 # APP安全评估 # App合规
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录