2022 VDC 安全隐私专场：提升用户产品安全体验，携手伙伴共建安全新生态

11 月 9 日，以“MORE，近你所想”为主题的 2022 vivo 开发者大会开启分会场的讨论。在安全隐私分会场上，来自 vivo 的安全专家和行业伙伴一起与开发者们分享了过去一年里 vivo 在安全隐私保护建设上的实践及成果。

安全隐私之路没有尽头，vivo 将不懈追求

数字化时代，安全隐私问题已成为人们关注的焦点，也是社会各层面需要共同面对和解决的难题。这一背景下，用户安全隐私意识的不断觉醒，促进了以用户为导向的、以数据安全与隐私保护为核心的安全体系的发展。

vivo 安全总监刘洪善在开场演讲中与大家分享了 vivo 的安全新范式，包括安全认知、基础安全体系、安全体验和透明沟通四个方面。

vivo 安全总监 刘洪善 

自上而下的安全战略与原则，是一切安全工作的起点。vivo 把数据安全、隐私保护与守法合规作为企业研发经营活动中绝对不可以触碰的红线和基本底线，来指导各项工作的开展。vivo 在新发布的《vivo 2021 年可持续发展报告》中，将信息安全和用户隐私保护列为重要性最高的两个课题，进一步提升了这一战略的高度，保障公司在安全隐私上的投入。同时，透明可控、隐私端侧处理、数据最小化作为 vivo 的隐私保护三原则，也在其不断的实践探索中得到了丰富。基于上述安全认知，vivo 构建了安全组织、技术、流程、工具等、组成的完整的安全体系;打造了多项以千镜安全架构为基础而孵化出的安全产品与服务，以不断提升用户的产品安全体验。同时，vivo 持续保持与监管部门、行业和用户的透明沟通，以此来检验自身的安全工作，为安全能力的提升创造更好的条件。

vivo 将过去一段时间内在安全方面的思考与实践进行沉淀总结，面向全球发布了《vivo 安全与隐私保护透明白皮书》。白皮书首次详细披露了 vivo 完整的隐私保护体系、透明展示了 vivo 在安全建设上的努力与决心。

vivo 发布《vivo 安全与隐私保护透明白皮书》 

刘洪善表示，单靠任何一个厂商，是无法满足所有安全需求的，安全体系需多方共建。除了加强自身安全体系建设，vivo 将一贯秉持开放透明的心态，与各方携手共建安全生态、共推安全产业、共创安全体验。

架构与工具双线发力，协同多方角色助推行业安全水平提升

用户、应用开发者和监管部门是移动互联网生态中的三个主要角色，他们的安全需求不一，各有侧重。为应对不同角色的差异化需求，vivo 重点做了两方面的工作：即构建终端安全产品体系以及开放多款应用安全与隐私保护检测工具。

vivo 安全专家苏涛详细介绍了 vivo 的千镜安全架构。该架构作为端侧安全能力的基座，能够从芯片层、内核层、框架层和应用层四个层面为安全产品提供系统化保护，进而保障用户数据安全与隐私。其中，芯片层是千镜安全架构的基础，作用是提供金融级的基础安全能力。在此基础上，内核层保障系统安全运行，框架层管控应用行为，应用层提供用户可感知的隐私保护能力。基于千镜安全架构，vivo 孵化出了千镜可信引擎，它是行业内首个全层级综合设备可信度分析系统，可以为用户提供反欺诈防护。

vivo 安全专家 苏涛 

vivo 本次还发布了三款安全与隐私合规风险检测工具。分别是轻量化代码安全扫描插件、多维度自动化应用安全检测平台、智能化隐私与合规检测平台，它们能在应用开发和测试阶段，帮助开发者识别并修复安全与隐私合规风险，助力开发者高效安全开发。

构筑 APP 全链路管控体系，与开发者共建安全合规的移动应用生态

监管部门非常重视个人信息保护，正不断加强对 APP 的监管力度。vivo 积极落实平台主体责任，对 APP 实行生命周期的全链路管理，持续为用户提供权益保护。vivo 中国区合规测试负责人黄梁锋对该管理举措进行了介绍。

具体管理措施大致可分为三个方面：1.更新审核标准，升级自动化检测能力，对开发者进行合规宣导;2.执行入库检测，同时对存量 APP 进行巡检排查;3.经过排查或者接受外部反馈后，对确认存在违规的 APP 进行责令整改或者处罚。除 APP 外，快应用和 SDK 也在管控范围内，对这三类模块的合规安全要求基本一致。通过从上架前的全方位测试审核到上架后的严格管理，全方位保障了 APP 全生命周期的安全合规。

vivo 中国区合规测试负责人 黄梁锋 

此外，黄梁锋还分享了日常 APP 合规安全测试工作，展示了包括个人信息采集、权限弹窗、广告跳转等多个合规问题场景，帮助开发者更好的理解合规要求。

vivo 愿与开发者共同努力，通过持续完善应用商店个人信息保护管理体系，提升隐私合规意识、完善相关技术能力，为广大用户营造更加安全、健康、和谐的 APP 生态环境，助力行业生态治理工作的有序开展与提升。

行业伙伴分享技术与合作，共话安全生态发展

来自蚂蚁集团、亚马逊云科技、复旦大学的三位安全行业顶尖专家同样亮相分会场，与开发者们进行安全与隐私实践交流与分享，共同探讨网络安全生态建设。

蚂蚁集团高级安全专家辛知分享了 AntDTX 中间件技术，及其与 vivo 协同共治网络欺诈的合作成果。

AntDTX 中间件是一款面向互联网业务风险的、开放的、安全可信中间件。它既能够解决像在智能 POS 机中的密钥与设备管理的合规问题，又能与手机合作伙伴一起在欺诈等业务风控领域实现联合的治理，实现终端安全业务的统一。

蚂蚁集团高级安全专家 辛知 

蚂蚁安全实验室通过将 AntDTX.Risk 的策略与能力嵌入到 vivo 的千镜可信引擎中，两者优势互补，共同来实现对欺诈类应用的纯端检测与预警。该联合方案首次部署到了 vivo 今年 4 月份的发布的 X Fold 和 X Note 上。随着数月的覆盖扩展与升级，截止 2022 年 9 月 30 日，该联合方案已经覆盖 vivo 手机量超过 400 万台，日均识别潜在风险交易超过 2100 笔，大大提升了用户的支付安全体验。

亚马逊云安全布道师江学森做了题为“将安全嵌入到提升开发者体验之中“的分享，介绍了云安全守护者计划以及亚马逊云服务对 vivo 安全工作的助力。

亚马逊云安全布道师 江学森 

云安全守护者计划是指，通过内部培训，提高开发者的安全知识储备，引导开发者从安全的角度去思考和解决问题，进而将安全嵌入到应用开发的全流程中。该计划总共培训了 2000 多名开发者，成效显著，所发现的中级和高级的安全漏洞和事件减少了 22.5%，端到端安全审查的时间减少了 26.9%。

亚马逊云助力 vivo 构建了牢固的云上防护体系，能更好地保护消费者数据安全与隐私。此外，亚马逊云还通过云计算赋能 vivo 全球营销系统，提供云厂商机房、云资源按需弹性使用、基础设施云托管、云厂商跨多区域部署方案等多种助力。

复旦大学副教授张源分享了其团队在开源代码漏洞治理上的工作及其与 vivo 的合作。

复旦大学副教授 张源 

由于开源软件供应链的引入，移动智能操作系统的漏洞治理已成为一件非常棘手的问题。张源教授的团队主要从三个层面开展工作。对于上游开源软件社区，研究高效的漏洞挖掘技术;从上下游依赖的角度，针对上游开源漏洞的信息进行增强，为下游漏洞治理提供数据支撑;针对下游系统，研究面向系统镜像的漏洞危害评估技术。以上这些漏洞治理工作的成果效果也非常显著，助推了移动安全生态的发展。

为提升手机操作系统的安全性，张源教授团队联合 vivo 安全团队开发了一款适配原 OS 的安全漏洞评估框架。vivo 手机操作系统在出厂前会经过此系统的安全扫描，保障 vivo 手机用户的数据和财产安全。

携手共赢，vivo 颁发 2022 最佳安全合作伙伴奖项

vivo 今年首次在安全与隐私专场举行了合作伙伴颁奖仪式，对和 vivo 一起为亿万用户安全与隐私保护做出杰出贡献的合作伙伴们颁发了最佳安全技术合作伙伴和最佳安全业务合作伙伴奖项，以示表彰和感谢。

vivo 将坚持与伙伴共同成长、携手构建更安全的新生态、共同推动全行业安全隐私保护水平提升，更好的保护用户安全与隐私。