9月24日，2020 OPPO開發(fā)者大會安全專場在線上舉辦。OPPO安全團隊帶來覆蓋軟件系統(tǒng)、應用產(chǎn)品、IoT等多個領域的安全內(nèi)容分享，通過在不同領域的安全建設，維護全體開發(fā)者與合作伙伴的利益，并持續(xù)為用戶提供可信賴的、安全的產(chǎn)品。

OPPO安全為開發(fā)者生態(tài)保駕護航

在過去的一年，OPPO安全團隊累計攔截攻擊超過3000億次，相當于每秒抵擋9500次攻擊，打擊黑灰APP超過500款，有利地保證了全體開發(fā)者和與合作伙伴的利益。以上成績，離不開OPPO安全團隊從技術創(chuàng)新上的努力。

OPPO安全深度研究安全攻防技術動態(tài)，通過AI＋大數(shù)據(jù)進一步提升對惡意行為畫像和識別能力，持續(xù)通過全球安全生態(tài)協(xié)同，對抗并打擊惡意攻擊行為。在打擊黑產(chǎn)方面，OPPO安全團隊經(jīng)過半年的研發(fā)，上線了全新的、多引擎融合的安全與隱私檢測平臺，自主研發(fā)識別引擎以及三方安全識別引擎。通過多套引擎融合檢測，配合安全隱私標準，實現(xiàn)對于黑產(chǎn)APP和惡意APP更準確的自動化識別。通過OPPO安全的立體安全防護體系的建設，為整個開發(fā)者生態(tài)的穩(wěn)定可靠運行保駕護航。

OPPO非常重視自身產(chǎn)品和服務的安全性，致力于打造安全可靠產(chǎn)品和保護用戶的隱私。在開發(fā)者生態(tài)構建方面，一直致力于打造綠色生態(tài)環(huán)境，對于黑產(chǎn)和惡意行為零容忍，堅決維護全體開發(fā)者和合作伙伴的利益。

OPPO建立健全快應用的安全與隱私檢測

快應用是一種基于手機硬件平臺的應用形態(tài)，使用前端技術棧開發(fā)，允許用戶無需下載安裝APP便可以即點即用�？鞈�用便捷的產(chǎn)品特性受到用戶喜愛，已覆蓋超過10億設備，并在不斷延伸至其它智能終端使用。隨著快應用的市場覆蓋越來越廣，快應用安全與隱私問題日益凸顯。

在快應用安全專題中，OPPO子午互聯(lián)網(wǎng)安全實驗室對快應用的安全與隱私進行了分析研究，并闡述了分析方法、檢測項、常見安全與隱私問題，希望能夠?qū)�業(yè)界開展快應用安全與隱私工作帶來啟發(fā)和幫助。同時，介紹了Zipperdown 漏洞、日志打印個人敏感信息、使用不安全的外部存儲、使用不安全的下載、任意網(wǎng)頁加載、exchange 接口誤用等多個快應用典型漏洞，并分享給開發(fā)者相應的應對方案。

此外，OPPO子午互聯(lián)網(wǎng)安全實驗室開發(fā)的快應用工具rpktool也在安全專場正式亮相。據(jù)介紹，rpktool是一款用于解包、調(diào)試、重打包快應用的工具，能夠?qū)崿F(xiàn)解包時對js代碼進行美化和分析，輔助相關人員進行安全與隱私合規(guī)測試。

OPPO推出基于TA的移動終端密鑰安全服務OMKM

隨著移動互聯(lián)網(wǎng)的日趨完善以及云計算、大數(shù)據(jù)等技術的落地，互聯(lián)網(wǎng)應用向無線領域不斷延伸和發(fā)展，移動終端密鑰安全問題同樣備受關注。安全的終端密鑰管理機制是通信數(shù)據(jù)安全的關鍵問題，目前大多數(shù)密鑰管理方案僅僅關注了密鑰在協(xié)議層面上的安全性，很少或沒有考慮密鑰在移動終端的存儲過程和使用過程中的安全性。

為了解決移動終端密鑰安全需求，OPPO推出了移動終端密鑰安全服務——OMKM。OMKM的架構分為客戶端和服務端兩個部分。其中，客戶端由Android下的OMKM SDK、Android下的OMKM Service以及TEE下的OMKM TA構成，基于TA的移動終端密鑰安全服務，為開發(fā)者提供密鑰全生命周期管理，提升業(yè)務數(shù)據(jù)和用戶隱私的安全性；在服務端，則主要包含部署在業(yè)務側后臺的OMKMS SDK和部署在OMKM后臺的service。

OMKM旨在為業(yè)務數(shù)據(jù)和用戶隱私提供更安全、便捷的安全密鑰服務。一方面，OMKM能夠為開發(fā)者提供可信執(zhí)行環(huán)境，從而保證密鑰在使用、存儲時的安全性，有效防止運行時的密鑰泄漏；另一方面，對密鑰進行分層管理，層次化密鑰結構更有利于密鑰的安全管理，適合多種密鑰應用場景；此外，密鑰管理對業(yè)務透明，使開發(fā)者專注應用功能實現(xiàn)和業(yè)務邏輯優(yōu)化，為產(chǎn)品提供全生命周期密鑰管理；最后，在多設備支持方面，為IoT設備、移動終端等提供了安全密鑰管理服務，并增強數(shù)據(jù)網(wǎng)絡傳輸和本地存儲的安全性。

OPPO IoT終端安全協(xié)作，共建安全的智能化生活

隨著運營商IPv6的部署，IoT規(guī)模將進一步擴大。由于IoT的應用、設備涉及的業(yè)務多種多樣，特性各不相同，使得整體攻擊面更大，IoT安全的復雜度、困難度也相對較高。

為此，OPPO投入技術資源，跟進IoT底層協(xié)議安全進展，為OPPO的IoT產(chǎn)品選擇合適的安全方案，并積極參與CCSA、TAF等國內(nèi)標準組織對IoT產(chǎn)品的安全標準制定。OPPO建設的HeyThings IoT平臺，也向開發(fā)者及合作伙伴開放，讓應用開發(fā)人員也可以參與到IoT的生態(tài)建設。

同時，OPPO安全團隊也十分注重行業(yè)聯(lián)盟的合作。以車聯(lián)網(wǎng)功能融合為例，OPPO積極參與了國際汽車連通性聯(lián)盟（CCC）支持下一代的數(shù)字車鑰匙，未來將與車輛廠商合作，在OPPO終端產(chǎn)品上逐步部署。此外，OPPO還參與了行業(yè)互傳聯(lián)盟，進行了協(xié)議層、軟件層的協(xié)同，保證跨廠商終端用戶的文件傳輸體驗。

OPPO希望以用戶、廠商、硬件供應商為基礎，結合應用開發(fā)者、白帽子、安全服務提供商的安全能力，在監(jiān)管部門、標準組織、聯(lián)盟組織的合作推動下，通過IoT生態(tài)鏈條上各相關方的協(xié)作，不斷提升IoT終端的安全水平，攜手共建安全的智能化生活。

發(fā)布《ColorOS安全白皮書》，持續(xù)為用戶提供安全可信的合規(guī)產(chǎn)品

在2020 OPPO開發(fā)者大會上，OPPO正式發(fā)布了ColorOS 11。ColorOS為用戶提供無邊界的體驗和感受時，必須同時保護用戶數(shù)據(jù)。OPPO從意識、流程、技術、標準組織等多維度持續(xù)構建以安全為核心之一的CorlorOS，為用戶提供可信賴的、安全的產(chǎn)品。

據(jù)OPPO安全團隊介紹，OPPO軟件研發(fā)總人數(shù)已超過六千人，下設六大國內(nèi)外研究所，在軟件、硬件及標準三大領域展開研究工作，為用戶提供高效、智能而富有設計感的ColorOS手機操作系統(tǒng)。OPPO副總裁＆軟件工程事業(yè)部總裁吳恒剛表示：“對公司來說，安全合規(guī)尤其重要，它是紅線中的紅線。未來軟件要成為全球可信賴的品牌基礎，就要把安全能力構建好”。

全新的ColorOS系統(tǒng)搭載OPPO端云協(xié)同的加密密鑰技術，通過AI＋大數(shù)據(jù)技術來提升軟件安全對抗能力，為用戶體驗保駕護航。安全可信賴的ColorOS，不僅帶來諸多保護用戶隱私與數(shù)據(jù)安全的新功能，并取得了ISO、ePrivacy以及TrustArc等國際標準機構的認證。

為了讓用戶能夠更加了解OPPO產(chǎn)品的安全和隱私合規(guī)態(tài)度和能力，并與用戶進行更加深入的互動，OPPO特發(fā)布《ColorOS安全白皮書》。該白皮書采用通俗易懂的語言，展現(xiàn)OPPO對安全的認識和洞察，分層分領域介紹安全功能的背景、價值和安全性。

未來，OPPO安全團隊將繼續(xù)堅持以保護用戶信息為核心，加深加強攻防分析和可信技術研究，落地業(yè)界優(yōu)秀實踐和保護方法，持續(xù)為用戶提供安全可信和合規(guī)的產(chǎn)品。