Използване на SDK по безопасен и сигурен начин

Много програмисти на приложения разчитат на продукти и услуги на трети страни за обезпечаването на ключова функционалност в приложенията си. Тези услуги често се разпространяват чрез една или повече библиотеки с код, които обикновено се наричат комплекти за разработване на софтуер (SDK).

Очаквания за програмистите, използващи SDK на трети страни

Ако включите SDK в приложението си, трябва да се уверите, че то не нарушава програмните правила за програмистите в Google Play поради кода и практиките на съответната трета страна.

Новосъздадената секция с изисквания за SDK има за цел да ви помогне да интегрирате SDK в приложенията си по безопасен и сигурен начин и предлага насоки как част от съществуващите ни изисквания за поверителност и сигурност се прилагат в контекста на SDK. Освен че осигуряваме централизиран ресурс за изискванията за SDK, потвърждаваме очакванията си относно потребителските данни при използване на SDK в приложенията ви. Например всяко събиране на данни в рамките на приложението трябва да се третира като извършвано директно от програмиста дори когато се осъществява от SDK.

Ако включвате SDK в приложението си, трябва да изпълните следните стъпки:

• Споделяйте събираните от приложението ви потребителски данни с трета страна само когато тя има нужда от тях.
• Научете как използваните в приложението ви SDK боравят с потребителските данни, какви разрешения ползват, каква информация събират и защо.
• Запознайте се с допълнителните ограничения за случаите на употреба с чувствителен характер, като например използването на SDK в приложения, насочени към деца.
• Уверете се, че доставчиците ви на SDK внедряват логика, която чете и спазва предпочитанията на потребителите, които събирате, или осигурете механизъм, с чиято помощ можете точно да инициализирате интегрирания в приложението SDK въз основа на видимото за потребителите събитие за съгласие.

Спазване на програмните правила за програмистите в Google Play

За да ви помогнем да се уверите, че използваният в приложението ви SDK спазва програмните правила за програмистите в Google Play, предоставяме различни инструменти и известия:

• Подаваме сигнали в Play Console за известни проблеми с популярни SDK.
• Индексът на Google Play за SDK ви помага да научите повече за най-използваните комерсиални SDK. Услугата комбинира данни за употребата на приложенията в Google Play с информация, събрана чрез технология за откриване на код, за да предостави атрибути и сигнали, които имат за цел да ви помогнат да решите дали да приложите, запазите или премахнете даден SDK от приложението си.
• Google Play SDK Console предоставя на отговарящите на условията доставчици на SDK отчети за сривовете, статистически данни за употребата и възможност да информират програмистите на приложения за критични проблеми, като използват Play Console и Android Studio.

Не забравяйте, че приложението ви не може да използва версия на SDK, която нарушава програмните правила за програмистите в Google Play, нито да допуска събиране или споделяне на данни от страна на SDK за цел, която не спазва правилата. Версиите на SDK, които не спазват правилата, трябва да бъдат премахнати или заменени с версия, която спазва изискванията.

Пояснения:

• Ако имате въпроси относно дадена версия на SDK и дали отговаря на изискванията на правилата относно SDK, препоръчваме да се свържете със съответния доставчик.
• В случай че получите съобщение за наложена мярка относно причинено от SDK нарушение, което трябва да отстраните от приложението си, прегледайте Повторно изпращане на приложението ви след нарушение на правилата за информация как да решите проблема.
• Ако сте доставчик на SDK, можете да използвате този незадължителен формат за SDK, за да публикувате указания за потребителите си относно секцията за безопасност на данните в Google Play.

Правила, които обикновено се свързват с причинени от SDK нарушения

За да се уверите, че използваният в приложението ви код на трета страна спазва програмните правила за програмистите в Google Play, прегледайте пълния текст на посочените по-долу правила:

• Потребителски данни
• Разрешения и API, които осъществяват достъп до поверителна информация
• Злоупотреба с устройства и мрежи
• Злонамерен софтуер
• Нежелан софтуер на мобилни устройства
• Програма за самостоятелно сертифицирани SDK за реклами за семейства
• Реклами
• Подвеждащо поведение
• Програмни правила за програмистите в Google Play

Забележка: Не забравяйте, че поради проблемен код на SDK приложението ви може да наруши правило, което не е споменато в списъка по-горе. Непременно прегледайте пълния текст на всички правила, за да получите актуална информация. Като програмист носите отговорността да се уверите, че използваните от вас SDK боравят с данните от приложението ви по спазващ правилата начин.

Ресурси, свързани с SDK

Ето няколко ресурса, които подпомагат безопасното използване на SDK на трети страни в приложението ви:

• Използване на SDK на трети страни в приложението ви
• Най-добри практики за SDK с цел безопасност на потребителите
• Обучение в Академията на Google Play относно най-добрите практики за SDK
• Запознаване с практиките за поверителност и сигурност на приложенията чрез секцията за безопасност на данните в Google Play
• Индекс на Google Play за SDK
• Най-добри практики за разкриване на информация по ясен начин и получаване на съгласие

В случай че получите съобщение за наложена мярка относно причинено от SDK нарушение, което трябва да отстраните от приложението си, прегледайте Приложението ми е премахнато от Google Play за информация как да решите проблема.

Ако сте доставчик на SDK, можете да използвате този незадължителен формат за SDK, за да публикувате указания за потребителите си относно секцията за безопасност на данните в Google Play.