Google Play 学院秘籍第一章 | 设计安全

作者 / Jon Markoff 和 Sean Smith，Android 安全和隐私权团队

不久前，我们向您隆重推出了 Google Play 学院，希望为您提供丰富的学习资源，助您拓展应用业务技能。您可以在线上免费学习由 Google 专家量身打造的实践指南，囊括政策、设计、准备、发布、增长、互动、获利、Play 管理中心等全方位指导，以在关键时刻解决燃眉之急。我们也会针对 Google Play 学院的课程提供系列内容，本期让我们从 "设计安全" 的课程内容开始学习吧。

作为一名开发者，您是否也正苦苦思索何时该将安全威胁保护纳入您的规划？将安全集成到应用开发的生命周期中可以为您节约大量的时间和金钱，同时大幅降低风险。因此我们在 Google Play 学院上推出了 "设计安全" 的相关内容，以帮助您识别和主动抵御安全威胁，同时减轻安全威胁带来的影响。点击这里 即刻开启本课程学习。

包括 Google Play 在内的 Android 生态系统拥有许多能保护开发者和用户的内置安全功能。"设计安全" 课程可助您在应用中构建更多安全功能，从而进一步提高应用的安全性。例如，Jetpack Security 能够帮助开发者正确加密存储中的数据 (静态数据)，且只提供安全且知名/主流的算法来加密文件和 SharedPreferences。作为一种解决方案，SafetyNet Attestation API 有助于识别潜在的危险使用方式。我们需要特别注意几个常见的设计漏洞，如使用共享或不当的文件存储、使用不安全的协议和不受保护的组件 (如 Activity) 等漏洞。本课程还提供了多种方法来测试您的应用，以保证应用在发布后的安全性。最后，您可以设置 漏洞披露计划 (VDP) 来寻求安全研究人员的帮助。

在后续课程中，您可以了解如何通过采用 安全开发生命周期 (SDL)，将安全融入开发流程的各个阶段。SDL 是一套业界标准流程，在本课程中，您将了解到如何制定计划、获取高层支持以及集成到开发生命周期的基础知识。

威胁模型是安全开发生命周期的部分之一。在本课程中，您将了解到攻击者的思维模式，从而识别、分类和解决威胁。通过在开发的早期设计阶段建立威胁模型，您可以识别潜在的威胁，并开始计划如何以更低的成本减轻这些威胁，从而为您的用户打造更安全的产品。

提高应用的安全性是一个永无止境的过程。欢迎您参加 "设计安全" 系列课程，观看其中几段简短的课程内容，了解如何将安全性集成到应用的开发生命周期中、构建潜在威胁模型、将应用安全最佳做法集成到您的应用中，以及如何规避可能存在的设计威胁。点击这里 即刻开启本课程学习。

欢迎您持续关注官方微信公众账号，进一步了解我们针对 Google Play 学院课程提供的系列内容，为您的出海之旅保驾护航。

Google Play 学院全新发布！

由 Google 产品专家根据开发者的需求精心设计的中文免费课程，助力您在 Google Play 上取得成功。

进入 Google Play 学院: g.cn/playacademy，使用任意邮箱注册账户，开启学习之旅吧！