让产品安全可信赖丨2020 OPPO开发者大会安全专场

9月24日，2020 OPPO开发者大会安全专场在线上举办。OPPO安全团队带来覆盖软件系统、应用产品、IoT等多个领域的安全内容分享，通过在不同领域的安全建设，维护全体开发者与合作伙伴的利益，并持续为用户提供可信赖的、安全的产品。

　OPPO安全为开发者生态保驾护航

在过去的一年，OPPO安全团队累计拦截攻击超过3000亿次，相当于每秒抵挡9500次攻击，打击黑灰APP超过500款，有利地保证了全体开发者和与合作伙伴的利益。以上成绩，离不开OPPO安全团队从技术创新上的努力。

OPPO安全深度研究安全攻防技术动态，通过AI+大数据进一步提升对恶意行为画像和识别能力，持续通过全球安全生态协同，对抗并打击恶意攻击行为。在打击黑产方面，OPPO安全团队经过半年的研发，上线了全新的、多引擎融合的安全与隐私检测平台，自主研发识别引擎以及三方安全识别引擎。通过多套引擎融合检测，配合安全隐私标准，实现对于黑产APP和恶意APP更准确的自动化识别。通过OPPO安全的立体安全防护体系的建设，为整个开发者生态的稳定可靠运行保驾护航。

OPPO非常重视自身产品和服务的安全性，致力于打造安全可靠产品和保护用户的隐私。在开发者生态构建方面，一直致力于打造绿色生态环境，对于黑产和恶意行为零容忍，坚决维护全体开发者和合作伙伴的利益。

OPPO建立健全快应用的安全与隐私检测

快应用是一种基于手机硬件平台的应用形态，使用前端技术栈开发，允许用户无需下载安装APP便可以即点即用。快应用便捷的产品特性受到用户喜爱，已覆盖超过10亿设备，并在不断延伸至其它智能终端使用。随着快应用的市场覆盖越来越广，快应用安全与隐私问题日益凸显。

在快应用安全专题中，OPPO子午互联网安全实验室对快应用的安全与隐私进行了分析研究，并阐述了分析方法、检测项、常见安全与隐私问题，希望能够对业界开展快应用安全与隐私工作带来启发和帮助。，介绍了Zipperdown 漏洞、日志打印个人敏感信息、使用不安全的外部存储、使用不安全的下载、任意网页加载、exchange 接口误用等多个快应用典型漏洞，并分享给开发者相应的应对方案。

，OPPO子午互联网安全实验室开发的快应用工具rpktool也在安全专场正式亮相。据介绍，rpktool是一款用于解包、调试、重打包快应用的工具，能够实现解包时对js代码进行美化和分析，辅助相关人员进行安全与隐私合规测试。

OPPO推出基于TA的移动终端密钥安全服务OMKM

随着移动互联网的日趋完善以及云计算、大数据等技术的落地，互联网应用向无线领域不断延伸和发展，移动终端密钥安全问题同样备受关注。安全的终端密钥管理机制是通信数据安全的关键问题，目前大多数密钥管理方案仅仅关注了密钥在协议层面上的安全性，很少或没有考虑密钥在移动终端的存储过程和使用过程中的安全性。

为了解决移动终端密钥安全需求，OPPO推出了移动终端密钥安全服务——OMKM。OMKM的架构分为客户端和服务端两个部分。其中，客户端由Android下的OMKM SDK、Android下的OMKM Service以及TEE下的OMKM TA构成，基于TA的移动终端密钥安全服务，为开发者提供密钥全生命周期管理，提升业务数据和用户隐私的安全性;在服务端，则主要包含部署在业务侧后台的OMKMS SDK和部署在OMKM后台的service。

OMKM旨在为业务数据和用户隐私提供更安全、便捷的安全密钥服务。一方面，OMKM能够为开发者提供可信执行环境，从而保证密钥在使用、存储时的安全性，有效防止运行时的密钥泄漏;另一方面，对密钥进行分层管理，层次化密钥结构更有利于密钥的安全管理，适合多种密钥应用场景;，密钥管理对业务透明，使开发者专注应用功能实现和业务逻辑优化，为产品提供全生命周期密钥管理;，在多设备支持方面，为IoT设备、移动终端等提供了安全密钥管理服务，并增强数据网络传输和本地存储的安全性。

　OPPO IoT终端安全协作，共建安全的智能化生活

随着运营商IPv6的部署，IoT规模将进一步扩大。由于IoT的应用、设备涉及的业务多种多样，特性各不相同，使得整体攻击面更大，IoT安全的复杂度、困难度也相对较高。

为此，OPPO投入技术资源，跟进IoT底层协议安全进展，为OPPO的IoT产品选择合适的安全方案，并积极参与CCSA、TAF等国内标准组织对IoT产品的安全标准制定。OPPO建设的HeyThgs IoT平台，也向开发者及合作伙伴开放，让应用开发人员也可以参与到IoT的生态建设。

，OPPO安全团队也十分注重行业联盟的合作。以车联网功能融合为例，OPPO积极参与了国际汽车连通性联盟(CCC)支持下一代的数字车钥匙，未来将与车辆厂商合作，在OPPO终端产品上逐步部署。，OPPO还参与了行业互传联盟，进行了协议层、软件层的协同，保证跨厂商终端用户的文件传输体验。

OPPO希望以用户、厂商、硬件供应商为基础，结合应用开发者、白帽子、安全服务提供商的安全能力，在监管部门、标准组织、联盟组织的合作推动下，通过IoT生态链条上各相关方的协作，不断提升IoT终端的安全水平，携手共建安全的智能化生活。

　发布《ColorOS安全白皮书》，持续为用户提供安全可信的合规产品

在2020 OPPO开发者大会上，OPPO正式发布了ColorOS 11。ColorOS为用户提供无边界的体验和感受时，必须保护用户数据。OPPO从意识、流程、技术、标准组织等多维度持续构建以安全为核心之一的CorlorOS，为用户提供可信赖的、安全的产品。