2022年2月8日，全国信息安全标准化技术委员会发布了《信息安全技术 移动互联网应用程序（App）生命周期安全管理指南（征求意见稿）》（以下简称《征求意见稿》），并公开征求意见。

《征求意见稿》主要内容共六章，分别是范围、规范性引用文件、术语和定义、缩略语、概述和生命周期管理，对生命周期的安全需求、安全建议、安全管理等内容给出了指导意见。

《征求意见稿》可为移动互联网应用程序（App）生命周期安全管理提供建议，适用于App开发者对App的开发、运营，也适用于移动应用分发平台厂商和移动智能终端厂商对App的管理，也可作为第三方机构对App进行安全检测时的参考，让开发者在开展规范性实践时有据可依、加强认识，从而促进整个移动互联网生态的健康发展。

众所周知，App的生命周期主要包含七个阶段：需求分析阶段、开发设计阶段、测试验证阶段、上架发布阶段、安装运行阶段、更新维护阶段和终止运营阶段，七个阶段都可能面临各种不同的安全风险，需要在App生命周期中对每个阶段进行安全分析与安全管理。

为此，《征求意见稿》提出了App 生命周期安全保证框架，如下图所示，可帮助移动互联网生态中不同参与者沟通和理解各个阶段的活动。

根据App在生命周期的开发、运营和管理过程中的不同特点，App可能面临的安全风险，包括但不限于：1、App自身可能会面临被恶意程序攻击的风险，恶意程序的分类及风险；2、当App存在侵害用户权益的问题时，会面临被通报或者下架的风险，侵害用户权益的分类及风险；3、App存在的安全漏洞可能会被攻击者利用的风险，影响App的正确运行，安全漏洞的分类及风险。

App生命周期安全保证框架由App生命周期过程和风险监测处置过程组成。在App生命周期过程中，各阶段开展不同的管理或技术活动，应对可能出现的风险，降低出现风险的可能性，安全风险应对体系。风险监测处置过程是通过采集生命周期过程中部分阶段的行为数据，并对行为数据进行风险分析和特征运营，从而判定App是否存在侵害用户权益风险，最终进行风险处置，降低App被通报或者下架的可能性；通过采取措施防范安全漏洞信息的泄露，防止安全漏洞信息传播而产生危害，降低App面临安全漏洞被利用的可能性（更多详细内容可参考附录）。

附：信息安全技术 移动互联网应用程序（App）生命周期安全管理指南（征求意见稿）全文