Sử dụng SDK sao cho an toàn và bảo mật

Nhiều nhà phát triển ứng dụng dựa vào sản phẩm và dịch vụ của bên thứ ba để cung cấp các chức năng chính trong ứng dụng. Các dịch vụ này thường được phân phối thông qua một hoặc nhiều thư viện mã, thường được gọi chung là bộ phát triển phần mềm (SDK).

Yêu cầu đối với nhà phát triển sử dụng SDK của bên thứ ba

Khi dùng một SDK trong ứng dụng của mình, bạn có trách nhiệm đảm bảo rằng đoạn mã của bên thứ ba và cách thức hoạt động của nhà phát triển SDK đó tuân thủ chính sách Chương trình dành cho nhà phát triển của Google Play và không khiến ứng dụng vi phạm chính sách.

Chúng tôi mới tạo ra mục Yêu cầu về SDK nhằm giúp bạn tích hợp SDK vào ứng dụng sao cho an toàn và bảo mật, đồng thời hướng dẫn cách áp dụng một số yêu cầu hiện hành về quyền riêng tư và bảo mật đối với SDK. Ngoài việc tập hợp tài nguyên đối với các yêu cầu về SDK, chúng tôi cũng nhắc lại kỳ vọng đối với việc bạn sử dụng SDK trong ứng dụng liên quan đến dữ liệu người dùng. Ví dụ: chúng tôi yêu cầu nhà phát triển ứng dụng coi việc SDK thu thập dữ liệu trong ứng dụng của họ như thể chính họ trực tiếp thu thập dữ liệu đó.

Nếu đưa SDK vào ứng dụng, bạn phải đảm bảo những điều dưới đây:

• Chỉ chia sẻ cho bên thứ ba dữ liệu người dùng mà ứng dụng của bạn thu thập khi cần.
• Nắm rõ cách SDK xử lý dữ liệu người dùng trong ứng dụng và biết các SDK đó dùng những quyền gì, thu thập dữ liệu nào và lý do của việc thu thập.
• Nắm rõ các quy tắc hạn chế bổ sung đối với trường hợp sử dụng nhạy cảm, chẳng hạn như việc sử dụng SDK trong các ứng dụng có nhắm đến trẻ em.
• Đảm bảo nhà cung cấp SDK có triển khai cơ chế logic nhằm đọc và tuân thủ lựa chọn ưu tiên của người dùng do nhà phát triển ứng dụng thu thập, hoặc đảm bảo rằng có một cơ chế để nhà phát triển ứng dụng khởi chạy chính xác SDK được tích hợp trong ứng dụng theo sự kiện đồng ý mà người dùng trực tiếp lựa chọn.

Tuân thủ Chính sách chương trình dành cho nhà phát triển của Google Play

Để đảm bảo mọi SDK mà ứng dụng của bạn đang sử dụng đều tuân thủ Chính sách chương trình dành cho nhà phát triển của Google Play, chúng tôi cung cấp nhiều công cụ và thông báo như sau:

• Chúng tôi sẽ gắn cờ các vấn đề đã biết liên quan đến những SDK phổ biến trong Play Console.
• Chỉ mục SDK của Google Play giúp bạn tìm hiểu thêm về các SDK thương mại thông dụng nhất. Công cụ này kết hợp dữ liệu sử dụng của ứng dụng trên Google Play với thông tin thu thập được qua tính năng phát hiện đoạn mã để đưa ra các thuộc tính và tín hiệu giúp bạn quyết định nên sử dụng, giữ hay xoá SDK khỏi ứng dụng.
• Với Google Play SDK Console, các nhà cung cấp SDK đủ điều kiện có thể nhận báo cáo sự cố, số liệu thống kê về việc sử dụng cũng như có phương thức thông báo các vấn đề nghiêm trọng cho nhà phát triển ứng dụng thông qua Play Console và Android Studio.

Hãy nhớ rằng ứng dụng của bạn không được sử dụng phiên bản SDK không tuân thủ, vi phạm chính sách Chương trình dành cho nhà phát triển của Google Play hoặc cho phép SDK thu thập hay chia sẻ dữ liệu cho bất kỳ mục đích nào không tuân thủ chính sách của chúng tôi. Các phiên bản SDK không tuân thủ phải bị xoá hoặc thay thế bằng phiên bản tuân thủ.

Lưu ý:

• Bạn nên liên hệ với nhà cung cấp SDK nếu có thắc mắc về một phiên bản SDK cũng như về tình trạng tuân thủ của SDK đó đối với các yêu cầu trong chính sách về SDK.
• Nếu bạn nhận được thông báo thực thi về việc có một lỗi vi phạm do SDK gây ra trong ứng dụng mà bạn cần giải quyết, hãy tham khảo bài viết Gửi lại ứng dụng sau khi vi phạm chính sách để tìm hiểu cách giải quyết lỗi vi phạm đó.
• Nếu là nhà cung cấp SDK, bạn có thể sử dụng định dạng (không bắt buộc) này cho SDK để xuất bản hướng dẫn cho người dùng liên quan đến mục An toàn dữ liệu trên Google Play.

Những chính sách thường có liên quan đến vi phạm do SDK gây ra

Để đảm bảo mọi đoạn mã của bên thứ ba mà ứng dụng của bạn đang sử dụng đều tuân thủ chính sách Chương trình dành cho nhà phát triển của Google Play, vui lòng đọc toàn bộ những chính sách dưới đây:

• Dữ liệu người dùng
• Các quyền và API truy cập thông tin nhạy cảm
• Sử dụng sai trái thiết bị và mạng
• Phần mềm độc hại
• Phần mềm không mong muốn trên thiết bị di động
• Chương trình SDK quảng cáo tự xác nhận dành cho gia đình
• Quảng cáo
• Hành vi lừa đảo
• Chính sách Chương trình dành cho nhà phát triển của Google Play

Lưu ý: Đoạn mã SDK có hại cũng có thể khiến ứng dụng vi phạm một chính sách khác chưa được liệt kê trong danh sách trên. Là nhà phát triển ứng dụng, bạn có trách nhiệm phải tham khảo và nắm bắt toàn bộ nội dung mới nhất của chính sách để đảm bảo rằng tất cả SDK đều tuân thủ chính sách khi xử lý dữ liệu ứng dụng của bạn.

Thông tin có liên quan về SDK

Sau đây là một số thông tin có thể hỗ trợ việc sử dụng SDK của bên thứ ba trong ứng dụng sao cho an toàn:

• Sử dụng SDK bên thứ ba trong ứng dụng của bạn
• Các phương pháp hay nhất về SDK để đảm bảo an toàn cho người dùng
• Chương trình đào tạo của Học viện Google Play về các phương pháp hay nhất về SDK
• Tìm hiểu các phương pháp bảo mật và bảo vệ quyền riêng tư của ứng dụng trong Mục An toàn dữ liệu trên Google Play
• Chỉ mục SDK của Google Play
• Các phương pháp hay nhất về thông tin công bố nổi bật và sự đồng ý của người dùng

Nếu bạn nhận được thông báo thực thi về việc có một lỗi vi phạm do SDK gây ra trong ứng dụng mà bạn cần xử lý, hãy tham khảo bài viết Ứng dụng của tôi đã bị xoá khỏi Google Play để tìm hiểu cách giải quyết.

Nếu là nhà cung cấp SDK, bạn có thể sử dụng định dạng (không bắt buộc) này cho SDK để xuất bản hướng dẫn cho người dùng liên quan đến mục An toàn dữ liệu trên Google Play.