Android安全计划概述

Android安全计划概述

——以下内容翻译自Google官方文档

开发早期，核心的Android开发团队已经认识到，维持一个云服务提供支持，构建在Android平台上的一个繁荣的生态系统，需要强大的安全模型。因为，在整个开发周期，Android都受到一个专业的安全计划的约束。Android开发团队有机会观察移动、桌面、服务器平台如何预防和应对安全问题，并且针对在这些平台观察到的弱点，建立一个安全计划。

Android安全计划的关键组件包括：

设计审查: Android的安全处理过程开始于开发周期的早期，创造了一个丰富的和可配置的安全模型和设计。平台的每一个主要特性都被工程和安全资源审查，把合适的安全控制集成到系统架构中。

渗透测试和代码审查：平台的开发期间，Android创建的和开源组件受到严格的安全审查。这些审查由Android安全团队，Google的信息安全工程团队和独立的安全顾问执行。审查的目标是在平台开源之前，尽可能的找出薄弱点和可能的漏洞，并且模拟平台发布之后，外部安全专家将进行的分析类型。

开源和社区审查：Android开源工程可以被任何感兴趣的组织进行广泛的安全审查。Android也使用了已经经历过意义重大的外部安全审查的开源技术，比较Linux内核。Google Play为用户和公司提供了一个论坛，直接向用户提供相关应用程序的信息。

事件响应：即使采用所有的这些预防措施，安全问题仍然可能发生。这是为什么Android团队创建了一个全面的安全响应过程。一个全职的Android安全团队持续的监控Android和一般的安全社区，讨论可能的安全漏洞。当发现一个确定的问题是，Android团队有一个响应过程，使得快速的减缓漏洞，确保对所有的Android用户潜在的危害最小。这些云支持的响应包括更新Android平台（通过OTA），从Google Play移除应用，从硬件设备上移除应用。