編號

服務名稱

數量

服務期限

備注

1

Android加固服務

1

合同日起1年內同一APP不限次加固

不可使用進口技術加固

2

IOS加固服務

1

合同日起1年內同一APP不限次加固

不可使用進口技術加固

3

鴻蒙應用加固服務

1

合同日起1年內同一APP不限次加固

不可使用進口技術加固

4

安卓、iso、鴻蒙應用測評服務

1

合同日起1年內同一APP不限次加固

不可使用進口技術加固

5

安卓、iso、鴻蒙應用合規服務

1

合同日起1年內同一APP不限次加固

不可使用進口技術加固

要求項

子項

具體要求參數

Android應用防代碼逆向要求

DEX加殼保護

支持對DEX文件進行整體加殼保護

DEX字符串加密

支持對DEX內的明文字符串進行加密保護

DEX類動態保護技術

支持對DEX內的代碼進行動態抽取加密，并且在類被執行時不解密類內全部代碼，只對被執行到的方法函數進行解密

DEX虛擬化保護技術

支持DEX虛擬化技術（VMP），能夠將DEX代碼轉換為自定義的虛擬機指令，并以自定義虛擬機進行解釋運行

DEX全量虛擬化保護技術

★支持DEX全量虛擬化技術（ALL-VMP），能夠將DEX代碼的通過DEX虛擬化技術進行全量保護

SO加殼保護

支持對SO進行加殼保護，防止反編譯

防查看偽代碼

★支持對SO代碼進行加密混淆，防止IDA的查看偽代碼功能（IDA F5功能）

導入/導出函數隱藏

支持對SO內的函數表信息進行加密

SO動態清除

★支持SO動態清除技術，能夠在SO執行過程中動態清除內存中的函數符號

SO防盜用綁定

★支持將SO文件同應用進行綁定，防止SO文件被非法盜用

Android應用防二次打包要求

完整性保護

支持APK完整性驗證，防止被非法篡改、二次打包

資源文件加密

支持對應用內的資源文件、配置文件進行完整性保護，防止被篡改

簽名驗證

支持對APP的開發者簽名進行驗證，防止被篡改簽名、非法發布

Android應用防數據泄露要求

數據加密

支持對本次存儲的數據庫文件、JS文件、證書文件、配置文件等進行透明加密保護，防止查看和修改

Android應用防調試要求

防動態調試

支持防動態調試，防止利用調試技術或工具對應用進行內存動態調試

防內存注入

支持防內存注入，防止利用內存注入技術對應用進行惡意代碼注入

防內存dump

支持防內存dump，防止通過內存dump的方式分析內存數據

防xposed hook攻擊

支持防止利用Xposed工具進行Hook攻擊

防Frida hook攻擊

支持防止利用Frida工具進行Hook攻擊

Android應用環境風險檢測與防護要求

防截屏

支持防止在應用運行過程中通過截屏非法竊取、捕獲敏感數據，保護用戶隱私數據安全、交易安全

防日志泄露

支持防止攻擊者通過分析應用日志信息獲取敏感信息

防設備root

支持設備Root檢測，對應用運行環境進行檢測，判斷設備是否已經Root進，確認后能夠阻止應用運行

防模擬器

支持防止模擬器運行，對應用運行環境進行檢測，判斷是否運行在模擬器上，確認后能夠阻止應用運行

防應用多開

支持防APP多開，對應用運行環境進行檢測，判斷是否通過VirtualApp等工具雙開、多開應用，確認后能夠阻止應用運行

防USB調試攻擊

★支持防止通過USB連接電腦對手機應用進行調試

防網絡代理

★支持防止應用在開啟網絡代理的設備上運行

防VPN

★支持防止應用在開啟VPN的設備上運行

防屏幕模擬點擊

★支持防止屏幕模擬點擊腳本執行

防定制化ROM

★支持防止應用在定制化ROM運行

防Android原生模擬器

防止APP在Android原生模擬器上運行

防屏幕共享

★防止通過會議軟件、遠控軟件共享應用屏幕

加固服務統計報告

自動生成加固服務報告

自動生成包含指定時間范圍內的加固各種數據的服務統計報告

服務形式要求

交付形式

支持SaaS在線云交付、支持私有云軟件交付、支持本地一體機交付

使用方式

支持基于Web瀏覽器加固、支持API自動化集成工具加固、桌面客戶端軟件加固

多語言系統

¢支持簡體、繁體、英語、韓語系統語言。

要求項

子項

具體要求參數

iOS應用加固支持語言要求

Object-C/Object-C++

支持對Object-C/Object-C++代碼的源到源加固

★Swift

支持對Swift代碼的源到源加固

C/C++

支持對C/C++代碼的源到源加固

iOS防代碼逆向要求

★控制流平坦化

支持在不改變語義的前提下，通過控制流平坦化將控制流進行混淆處理

★不透明謂詞

支持對跳轉邏輯的判斷值進行隱藏，增加攻擊者逆向分析的難度

符號混淆

支持對代碼內的類名、方法名、函數名進行加密混淆

★字符串加密

支持對字符串進行加密

★虛假控制流

支持增加新的虛假控制分支，加大破解和分析原始控制流的難度

多樣性混淆

支持隨機化混淆，每次混淆代碼不一樣

★防反編譯

防基于IDA、Hooper工具對iOS應用的反編譯

防chatGPT逆向

防止通過chatGPT AI工具對加固后的代碼進行逆向

iOS應用防調試要求

★靜態防調試

在源代碼內添加防調試校驗代碼，在函數執行時觸發該保護功能，防止繼續調試

★靜態防Inline Hook

在源代碼內添加防Inline Hook校驗代碼，在函數執行時觸發該保護功能，防止Inline Hook攻擊

★靜態防Swizzling Hook

在源代碼內添加防Swizzling Hook校驗代碼，在函數執行時觸發該保護功能，防止Swizzling Hook攻擊

★靜態防Frida hook攻擊

在源代碼內添加防Frida hook校驗代碼，在函數執行時觸發該保護功能，防止Frida hook攻擊

★靜態防Cycript注入

在源代碼內添加防Cycript校驗代碼，在函數執行時觸發該保護功能，防止Cycript攻擊

★靜態防Reveal注入

在源代碼內添加防Reveal校驗代碼，在函數執行時觸發該保護功能，防止Reveal攻擊

★靜態代碼完整性保護

在源代碼內添加防代碼篡改校驗代碼，在函數執行時觸發該保護功能，防止代碼完整性被破壞

¢實時防調試

在APP運行時開啟自動守護功能，隨時對調試行為進行監測和阻斷

¢實時防hook

在APP運行時開啟自動守護功能，隨時對hook行為進行監測和阻斷

支持防Inline Hook

支持防Swizzling Hook

支持防fishhook

¢實時完整性保護

在APP運行時開啟自動守護功能，對代碼段進行完整性

iOS應用防二次打包要求

綁定App包名

支持綁定app包名，篡改App包名將會導致應用運行閃退

綁定App簽名

支持綁定app簽名，篡改App簽名將會導致應用運行閃退

iOS應用環境風險檢測與防護要求

防設備越獄

支持自動檢測設備是否越獄，在已越獄的設備上自動阻止App運行

★防AirPlay投屏

支持對AirPlay投屏行為進行檢測，當存在AirPlay投屏行為時阻斷App的運行，防止用戶被進行遠程誘導性欺詐。

防日志泄露

支持對代碼內的系統日志輸出進行阻斷，防止敏感信息泄漏

★APP模糊化保護

支持App后臺切換過程的屏幕模糊化，防止信息泄漏

★https證書校驗

校驗https證書的合法性，防止中間人攻擊

★防位置偽造

支持自動檢測設備是否進行了位置偽造，當APP在偽造位置的設備上運行時，APP會閃退處理，保護APP內依賴精準位置的業務不受位置信息篡改影響。

防網絡代理

支持自動檢測是否存在網絡代理設置，當發現APP在啟用網絡代理的環境上運行時，APP會閃退處理，防止基于代理的抓包分析。

★防共享屏幕

支持自動檢測是否存在軟件共享屏幕行為，在共享屏幕時運行APP會閃退處理，防止基于屏幕共享軟件的遠程信息竊取、詐騙攻擊。

防模擬器

支持自動檢測是否在蘋果電腦模擬器上運行，當APP運行在模擬器上時會閃退處理，防止基于模擬器的各種越權攻擊。

★證書文件加密

支持對證書文件加密，防止對證書文件的非法讀取

★證書文件綁定

支持對證書文件的綁定，自動綁定應用包名和簽名，防止被非法盜用

防截屏

支持檢測截屏行為并彈窗提醒

防VPN

★防止通過VPN環境抓包分析

防蘋果電腦運行

★防止應用在蘋果電腦（M芯片）上運行

防屏幕點擊

★防止模擬屏幕點擊腳本

操作要求

文本配置黑白名單

支持通過文本框形式直接快速輸入黑白名單參數

樹裝配置黑白名單

支持通過樹狀目錄形式直接選擇黑白名單范圍

iOS應用加固后審計與定位要求

¢加固結果可視化

支持加固后輸出的是混淆加密的源代碼，能夠直觀查看加固后的代碼。

¢代碼逐行定位問題

支持代碼逐行調試代碼，準確、快速定位問題

★SourceMap源代碼溯源功能

加固后支持查看出問題的加固代碼所對應的原始代碼行號

服務形式要求

¢交付形式

支持SaaS在線云交付、支持私有云軟件交付、支持本地一體機交付

使用方式

支持基于桌面軟件加固、支持命令行自動化加固

¢多語言系統

支持簡體、英語系統語言。

要求項

子項

具體要求參數

方舟TypeScript代碼加固（ArkTS）

鴻蒙ArkTS代碼文件整體混淆

支持對ArkTS代碼文件進行整體的深度混淆加固，防止攻擊者對ArkTS代碼文件的逆向破解。

鴻蒙ArkTS代碼控制流平坦化混淆

支持對ArkTS代碼內的代碼分支、控制流程進行扁平化、平坦化混淆，讓攻擊者無法理解原代碼處理流程和邏輯關系，防止攻擊者對ArkTS代碼的逆向破解。

鴻蒙ArkTS代碼變量字符串加密

支持對ArkTS代碼內通過全局變量賦值的字符串內容進行加密處理，防止如url、密鑰等敏感字符串信息被攻擊者讀取和惡意利用。

鴻蒙ArkTS代碼函數字符串加密

支持對ArkTS代碼函數體內引用的字符串內容進行加密處理，防止如用戶名、姓名、賬號等敏感字符串信息被攻擊者讀取和惡意利用。

鴻蒙ArkTS代碼參數名稱混淆

支持對ArkTS代碼的參數名稱進行混淆處理，增加代碼的不可閱讀性，防止攻擊者對ArkTS代碼文件的逆向破解。

鴻蒙ArkTS代碼變量名稱混淆

支持對ArkTS代碼的變量名稱進行混淆處理，增加代碼的不可閱讀性，防止攻擊者對ArkTS代碼文件的逆向破解。

鴻蒙ArkTS文件加固范圍自定義功能

支持指定不參與加固處理的ArkTS文件，支持正則表達式匹配規則，通過屏蔽無必要加固的文件，提高鴻蒙應用加固處理效率。

鴻蒙ArkTS字符串加密范圍自定義功能

支持指定ArkTS代碼內不參與字符串加密的字符串，支持正則表達式匹配規則，通過屏蔽無必要加固的字符串，提高鴻蒙應用加固處理效率。

標準TypeScript代碼加固（TS）

標準TS代碼文件整體混淆

支持對TS代碼文件進行整體的深度混淆加固，防止攻擊者對TS代碼文件的逆向破解。

標準TS代碼控制流平坦化混淆

支持對TS代碼內的代碼分支、控制流程進行扁平化、平坦化混淆，讓攻擊者無法理解原代碼處理流程和邏輯關系，防止攻擊者對TS代碼的逆向破解。

標準TS代碼變量字符串加密

支持對TS代碼內通過全局變量賦值的字符串內容進行加密處理，防止如url、密鑰等敏感字符串信息被攻擊者讀取和惡意利用。

標準TS代碼函數字符串加密

支持對TS代碼函數體內引用的字符串內容進行加密處理，防止如用戶名、姓名、賬號等敏感字符串信息被攻擊者讀取和惡意利用。

標準TS代碼參數名稱混淆

支持對TS代碼的參數名稱進行混淆處理，增加代碼的不可閱讀性，防止攻擊者對TS代碼文件的逆向破解。

標準TS代碼變量名稱混淆

支持對TS代碼的變量名稱進行混淆處理，增加代碼的不可閱讀性，防止攻擊者對TS代碼文件的逆向破解。

標準TS文件加固范圍自定義功能

支持指定不參與加固處理的TS文件，支持正則表達式匹配規則，通過屏蔽無必要加固的文件，提高鴻蒙應用加固處理效率。

標準TS字符串加密范圍自定義功能

支持指定TS代碼內不參與字符串加密的字符串，支持正則表達式匹配規則，通過屏蔽無必要加固的字符串，提高鴻蒙應用加固處理效率。

C/C++代碼加固

SO文件高級防逆向加固

支持對C/C++開發的SO文件的高級防逆向保護處理，防止對核心SO文件的逆向破解。

要求項

子項

具體要求參數

檢測能力

檢測對象

★產品具備Android、iOS、Android SDK、iOS SDK、鴻蒙、微信小程序、微信公眾號、web應用、源碼的漏洞掃描能力。

檢測方式

支持靜態代碼反編譯與動態沙箱模擬攻擊相結合的方式進行檢測

動態檢測

支持至少18項動態檢測項，包括但不限于：篡改二次打包風險、應用簽名未校驗風險、數據庫注入漏洞、動態調試攻擊風險、http報文信息泄露風險、界面劫持風險、本地端口開放越權漏洞、ContentProvider數據泄漏漏洞、動態注入攻擊、root設備運行檢測、模擬器運行檢測等、★Content Provider導出組件目錄遍歷漏洞、★SharedPreferences文件中存儲敏感信息、★SQLite數據庫中明文存儲敏感信息、Activity導出組件拒絕服務漏洞、Service導出組件拒絕服務漏洞、Broadcast Receiver導出組件拒絕服務漏洞、Frida HOOK運行風險。

Android檢測

覆蓋檢測對象

支持提交apk、aab格式的應用提交檢測

檢測項數量及覆蓋類別

支持至少150項測評項，覆蓋自身安全、程序源文件安全、本地數據存儲安全、通信數據傳輸安全、身份認證安全、內部數據交互安全、惡意攻擊防范能力、第三方SDK信息、內容安全、應用優化建議等十項類別。

基本信息

支持全自動化識別應用基本信息，信息維度包括但不限于APK文件名、軟件名稱、包名、軟件大小、軟件版本、MD5、簽名信息、targetSdkVersion、minSdkVersion、分析時間等。

權限信息

支持全自動化識別檢測App的權限信息，包括申請的權限范圍和使用權限范圍，需要提供敏感權限、普通權限、自定義權限三大類別權限結果。

行為信息

支持app行為信息檢測，并輸出行為函數名稱、行為描述、行為風險等級、行為信息定位等信息。

可識別行為包括但不限于動態加載、刪除文件、讀寫文件、反射調用等

病毒掃描

★具備至少3種病毒引擎的檢測能力，支持提供檢測出的病毒信息及具體定位。

第三方SDK信息

★SDK分類基于《網絡安全標準實踐指南-移動互聯網應用程序（App）使用軟件開發工具包（SDK）安全指引》的常見SDK類型的標準分類。

SDK信息可單獨顯示，報告顯示信息至少包含SDK名稱、開發者、類別、包名、描述、來源地址等6個維度信息。

加固殼識別

能夠識別至少15家主流加固廠商的加固特征

界面劫持風險

★支持動態運行檢測應用是否存在界面劫持風險，并可以提供界面劫持成功截圖或日志信息

自身安全檢測

檢測移動應用程序的基本信息，全景化呈現應用基本權限行為的聲明和使用狀態。檢測項包括但不限于：基本信息、權限信息、行為信息、資源文件中的apk文件、權限過度聲明風險、未保護的自定義權限風險、★應用測試模式發布風險、★來源安全檢測、★應用權限安全、★控制力安全檢測、越權行為檢測等

程序源文件安全

檢測移動應用程序的源文件可能面臨的安全風險。平臺檢測項包括但不限于：加固殼識別、java代碼反編譯風險、so文件破解風險、篡改和二次打包風險、Janus簽名機制漏洞、資源文件泄露風險、應用簽名未校驗風險、代碼未混淆風險、使用調試證書發布應用風險、僅使用Java代碼風險、啟動隱藏服務風險、應用簽名算法不安全風險、單元測試配置風險、xml資源文件泄露風險、★友盟SDK越權漏洞、★惡意URL檢測、txt資源文件敏感信息泄露風險、lua資源文件敏感信息泄露風險、html資源文件敏感信息泄露風險、★SharedPreferences文件中存儲敏感信息、★SQLite數據庫中明文存儲敏感信息、★SQLite數據庫缺少加密保護等。、★SO庫導出符號泄露風險檢測

本地數據存儲安全

檢測移動應用本地數據存儲可能面臨的安全風險及漏洞。平臺檢測項包括但不限于：Webview明文存儲密碼風險、WebView存在潛在跨站腳本攻擊風險、允許Webview訪問本地任意腳本、明文數字證書風險、調試日志函數調用風險、數據庫注入漏洞、RSA加密算法不安全使用漏洞、密鑰硬編碼漏洞、動態調試攻擊風險、Webview遠程調試風險、應用數據任意備份風險、敏感函數調用風險、數據庫文件任意讀寫漏洞、全局可讀寫的內部文件漏洞、SharedPreferences數據全局可讀寫漏洞、SharedUserld屬性設置漏洞、Internal Storage數據全局可讀寫漏洞、getDir數據全局可讀寫漏洞、FFmpeg文件讀取漏洞、Java層動態調試風險、剪切板敏感信息泄露漏洞、內網測試信息殘留漏洞、隨機數不安全使用漏洞、代碼殘留URL信息檢測、殘留賬戶密碼信息檢測、殘留手機號信息檢測、殘留Email信息檢測、★明文泄漏風險、StrandHogg漏洞、ECB模式的AES/DEA加密方法不安全使用漏洞、OFB模式的AES/DEA加密方法不安全使用漏洞、外部儲存卡存儲數據風險、★私有IP地址暴露風險、★字節數組與字符串轉換風險、★允許用戶控制密鑰長度風險、★初始化向量硬編碼風險、SD卡數據泄露風險檢測、★TDES加密算法不安全使用風險等

通信數據傳輸安全

檢測移動應用的通信數據傳輸中可能面臨的安全隱患。平臺檢測項包括但不限于：HTTP傳輸數據風險、HTTPS未校驗服務器證書漏洞、HTTPS未校驗主機名漏洞、HTTPS允許任意主機名漏洞、Webview繞過證書校驗漏洞、HTTP報文信息泄露風險、互聯網環境檢測、啟用VPN服務檢測、訪問非中國內地服務器風險、★通信套接字安全等。

身份認證安全

檢測移動應用在身份認證上可能存在關鍵信息泄露的風險。平臺檢測項包括但不限于：界面劫持風險、輸入監聽風險、截屏攻擊風險等

內部數據交互安全

檢測移動應用內部數據在內部組件交互過程中可能面臨的風險漏洞。平臺檢測項包括但不限于：動態注冊Receiver風險、Content Provider數據泄露漏洞、本地端口開放越權漏洞、Pendinglntent錯誤使用Intent風險、Intent組件隱式調用風險、反射調用風險、用戶隱私信息檢測、Activity組件導出風險、Service組件導出風險、Broadcast Receiver組件導出風險、Content Provider組件導出風險、Android-gif-Drawable遠程代碼執行漏洞、Fragment注入攻擊漏洞、Intent Scheme URL攻擊漏洞、★覆蓋權限驗證風險、★僅定義Provider writePermission風險、★混淆代理人攻擊風險、★未配置網絡安全屬性風險、★Receiver權限未指定風險、★Broadcaster權限未指定風險、★缺少導出的標志或組件權限、★ContentProvider訪問路徑不安全配置風險、★粘滯廣播使用風險、★so包含執行命令函數風險等

惡意攻擊防范能力

通過動靜態檢測手段，分析移動應用對于惡意攻擊手段的防范能力。平臺檢測項包括但不限于："應用克隆"漏洞攻擊風險、動態注入攻擊風險、Webview遠程代碼執行漏洞、未移除有風險的Webview系統隱藏接口漏洞、zip文件解壓目錄遍歷漏洞、下載任意apk漏洞、Activity導出組件拒絕服務漏洞、Service導出組件拒絕服務漏洞、Broadcast Receiver導出組件拒絕服務漏洞、從sdcard加載dex風險、從sdcard加載so風險、未使用編譯器堆棧保護技術風險、未使用地址空間隨機化技術風險、模擬器運行風險、Root設備運行風險、不安全的瀏覽器調用漏洞、"寄生體"云控風險檢測、★運行其他可執行程序漏洞、★libupnp緩沖區溢出漏洞

★Intent重定向漏洞、★Content Provider導出組件目錄遍歷漏洞、★fastjson反序列化遠程代碼執行漏洞、★fastjson遠程命令執行漏洞、★UnityGhost漏洞、★阿里云OSS憑證泄露、Frida hook運行風險（動態檢測）等

HTML5安全

支持檢測集成Html5語言框架開發的app。平臺檢測項包括但不限于：Web Storage數據泄露風險、WebSQL注入漏洞、InnerHTML的XSS攻擊漏洞等

內容安全

支持檢測應用代碼層面的敏感信息。檢測項包括但不限于：敏感詞信息、敏感圖片檢測、敏感文本檢測

優化建議

支持檢測應用在開發規范、加密等級升級等配置情況。檢測項包括但不限于：全局異常檢測、IP地址檢測、國密算法檢測、SharedPreferences使用commit提交數據檢測、自啟行為檢測

iOS檢測

檢測項數量及覆蓋類別

★支持至少68項測評項，覆蓋自身安全、二進制代碼保護、客戶端數據存儲安全、數據傳輸安全、加密算法及密碼安全、程序源文件安全和iOS應用安全規范、內容安全、HTML5安全、第三方SDK、身份認證安全等檢測類別。

自身安全檢測

支持檢測移動應用基本信息，全量化輸出應用權限、行為、架構等信息。檢測項包括但不限于：基本信息、權限信息、行為信息、證書類型檢測、無法上架App Store風險、編譯架構檢測等。

二進制代碼保護

支持檢測移動應用二進制代碼保護情況。檢測項包括但不限于：代碼未混淆風險、未使用地址空間隨機化技術風險、未使用編譯器堆棧保護技術風險、注入攻擊風險、可執行文件被篡改風險。

客戶端數據存儲安全

支持檢測移動應用客戶端數據存儲安全。檢測項包括但不限于：動態調試攻擊風險、輸入監聽風險、調試日志函數調用風險、webview組件跨域訪問風險、越獄設備運行風險、數據庫明文存儲風險、動態庫信息泄露風險、★FFmpeg文件讀取漏洞、★出口合規證明、★明文泄漏風險、★殘留Email信息檢測、★殘留手機號信息檢測、★日志泄漏風險檢測、★cer證書文件未加密風險、★私鑰存儲文件未加密風險

數據傳輸安全

支持檢測移動應用數據傳輸安全情況。檢測項包括但不限于：HTTP傳輸數據風險、HTTPS未校驗服務器證書漏洞、URL Schemes劫持漏洞、聯網環境檢測

加密算法及密碼安全

檢測項包括但不限于:AES/DES加密算法不安全使用漏洞、弱哈希算法使用漏洞、隨機數不安全使用漏洞

程序源文件安全

檢測項包括但不限于：明文字符串泄露風險、外部函數顯式調用風險、系統調用暴露風險、創建可執行權限內存風險、篡改和二次打包風險、SQLite內存破壞漏洞、格式化字符串漏洞、txt資源文件敏感信息泄露風險、★lua資源文件敏感信息泄露風險、html資源文件敏感信息泄露風險、xml資源文件敏感信息泄露風險、js資源文件敏感信息泄露風險、★資源文件泄漏風險、★代碼反編譯風險

iOS應用安全開發規范

檢測項包括但不限于：XcodeGhost感染漏洞、不安全的API函數引用風險、Private Methods使用檢測、ZipperDown解壓漏洞、iBackDoor控制漏洞、未使用自動管理內存技術風險、內存分配函數不安全風險、自定義函數邏輯過于復雜風險、★UnityGhost漏洞、★xcode版本檢查、★使用企業證書發布應用風險檢測、★Intel模擬器運行風險

HTML5安全

檢測項包括但不限于：Web Storage數據泄露風險、 InnerHTML的XSS攻擊漏洞

第三方SDK

★SDK分類基于《網絡安全標準實踐指南-移動互聯網應用程序（App）使用軟件開發工具包（SDK）安全指引》的常見SDK類型的標準分類。

SDK信息可單獨顯示，報告顯示信息至少包含SDK名稱、開發者、類別、描述、來源地址等5個維度信息。

身份認證安全

檢測iOS應用在★共享屏幕和★airplay投屏場景下的信息泄露的風險。

內容安全

支持檢測應用代碼層面的敏感信息。檢測項包括但不限于：敏感詞信息

檢測對象

支持上傳aar、★zip、★rar、★jar格式的SDK文件進行檢測

★鴻蒙檢測

檢測對象

支持上傳hap格式的鴻蒙應用文件進行檢測，

檢測項數量及覆蓋類別

支持不少于100項檢測項，檢測類別覆蓋本地數據存儲安全、內部數據交互安全、通信數據傳輸安全、程序源文件安全、自身安全、惡意攻擊防范、優化建議、HTML5安全、身份認證安全

自身安全

檢測項包括但不限于：基本信息、權限信息、★缺少權限申請理由、★應用使用的權限未定義、★自定義權限以ohos開頭風險、★動態類加載路徑檢測等、第三方SDK檢測、控制力安全、未保護的自定義權限風險、應用權限安全、權限過度聲明、敏感詞檢測等。

通信數據傳輸安全

檢測項包括但不限于：HTTPS未檢驗主機名漏洞、明文流量傳輸、HTTPS未校驗服務器證書漏洞、WebView繞過證書校驗漏洞、WebView加載任意url風險、HTTPS允許任意主機名漏洞、互聯網環境檢測、訪問境外服務器檢測、通信套接字安全、HTTP傳輸數據風險、啟用vpn服務檢測、WebView繞過證書校驗風險等。

程序源文件安全

檢測項包括但不限于：★初始化向量硬編碼風險、代碼未混淆風險、so文件破解風險、未使用地址空間隨機化技術風險、未使用編譯器堆棧保護技術風險、Java代碼反編譯風險、僅使用Java代碼風險、惡意URL檢測、加固殼識別、應用簽名算法不安全風險、單元測試配置風險、友盟SDK越權漏洞等。

本地數據存儲

檢測項包括但不限于： 應用數據任意備份風險、密鑰硬編碼漏洞、調試日志函數調用風險、RSA加密算法不安全、隨機數不安全使用漏洞、剪切板敏感信息泄露、代碼殘留URL信息檢測、內網測試信息殘留漏洞、明文數字證書風險

數據庫文件任意讀寫漏洞、

允許用戶控制密鑰長度風險、

ECB模式的AES/DEA加密方法不安全使用漏洞、

ffmpge文件讀取漏洞、

getDir數據全局可讀寫漏洞、

全局可讀寫的內部文件漏洞、

Hash算法不安全、

Internal Storage數據全局可讀寫漏洞、

OFB模式的AES/DEA加密方法不安全使用漏洞、

內網IP地址泄露風險、

殘留Email信息、

敏感函數調用風險、

殘留賬戶密碼信息檢測、

殘留手機號信息檢測、

SharedPreferences數據全局可讀寫漏洞、

外部儲存卡存儲數據風險、

字節數組與字符串轉換風險、

WebView BadKernel遠程代碼執行漏洞、

Webview File域同源策略繞過、

WebView遠程調試風險、

WebView明文存儲密碼風險等。

內部數據交互安全

檢測項包括但不限于：★Page組件導出風險、Data組件導出風險、★Service組件導出風險、★公共事件劫持風險、★公共事件訂閱檢測、★DataAbility設置合理的讀寫權限、

Android-gif-Drawable遠程代碼執行漏洞、

Intent Scheme URL攻擊漏洞、

覆蓋權限驗證、

★page劫持檢測、

PendingIntent錯誤使用Intent風險、

權限檢查、

反射調用風險等

惡意攻擊防范能力

檢測項包括但不限于：zip文件解壓目錄遍歷漏洞、“寄生推”云控風險、不安全的瀏覽器調用、運行其他可執行程序漏洞、從sdcard加載dex風險、從sdcard加載so風險、libupnp緩沖區溢出漏洞、未移除有風險的Webview系統隱藏接口漏洞、Webview遠程代碼執行漏洞等。

優化建議

檢測項包括但不限于：全局異常捕獲處理、IP地址檢測、SharedPreferences使用commit提交數據檢測、自啟行為、SM2國密算法檢測、SM3國密算法檢測、SM4國密算法檢測等。

HTML5安全

檢測項包括但不限于：innerHTML的漏洞、Web Storage數據泄露風險、 WebSQL漏洞

身份認證安全

檢測項包括但不限于：使用調試證書發布應用風險、截屏攻擊風險

平臺功能

數據統計

¢支持統計賬號提交總任務數量、月度任務數量、風險總數量、問題總數量等數據信息。

¢任務數據與樣本統計支持以圖表方式展現近一個月內數據趨勢。

¢支持以日、周、月維度統計應用安全性，應用平均得分

¢支持以月度為單位，以圖表形式體現應用得分分布圖

¢支持以月度為單位，圖表形式展示各個檢測項目的風險檢出率

¢支持以月度為單位查詢單個檢測項的風險檢出率，及存在此風險的相關被檢測應用信息。

批量操作

★支持批量下載word、excel、pdf格式的檢測報告

支持批量提交不少于50個應用進行檢測

支持批量下載被檢測應用源文件（apk、ipa、aar、zip、jpg、png等）

¢支持批量統計分析，可對至少50個應用的測評結果統計分析，并且以報告的形式展示，包括應用得分、問題項目發生占比等。

任務日志

版本管理

¢支持應用安全性版本管理，支持應用不同版本之間安全性對比圖表展示，支持輸出版本對比分析報告；

檢測結果編輯

★支持在線編輯檢測結果，可編輯內容包括但不限于安全與否、存在漏洞的文件詳情、人工驗證截圖上傳等，支持輸出編輯完成后的最終版報告。

檢測源數據導出

支持Android檢測結果源數據導出，支持根據用戶賬號、檢測時間進行篩選，導出相應的檢測結果源數據excel。

檢測模板

支持系統自帶模板

支持用戶自定義增刪檢測模板

★檢測模板可根據檢測方式（動態、靜態）、報告語言、報告輸出類型等維度靈活配置檢測項目。

★支持導出檢測模板

用戶管理

支持用戶在授權范圍內自定義角色分工，并自主創建賬號，實現多用戶管理功能，至少提供管理員和普通用戶兩種角色

管理功能

（僅支持私有化部署場景交付）

★支持自定義檢測規則，根據業務需求自主更改檢測項分值、分級標準、風險等級、風險描述、檢測步驟、修復建議等信息，并支持導入導出備份功能

★支持Android應用通過路徑匹配、模糊匹配、文件匹配等方式，對部分檢測項或全局檢測項設置白名單，并提供相關增刪改查管理功能

支持設置Android/iOS應用敏感詞庫管理功能，可自定義增刪改敏感詞庫內容。

支持自定義修改平臺界面UI設置，包括但不限于：平臺登錄背景圖、logo、平臺介紹、平臺名稱等信息

支持自定義報告內容，包括但不限于：報告標題、logo、水印、附錄、公司介紹信息等。

支持產品授權更新功能

支持磁盤管理功能，可通過平臺定期自動/手動清理系統各類緩存信息，釋放系統空間，維持系統運行內存穩定。

支持檢測任務隊列調整，管理員可一鍵置頂或取消某項排隊中任務。

★支持Android SDK的后臺配置管理，可自主添加或刪除第三方SDK，添加后的SDK支持在App中進行識別和安全檢測。

日志管理

★支持查看導出用戶操作日志

★支持單個任務運行日志信息下載。適用檢測對象：Android、aab、iOS、Android SDK、iOS SDK、鴻蒙、小程序/公眾號

報告輸出

支持在線預覽查看報告內容，報告內容包括：檢測評分、檢測數據總覽、檢測數據圖表、檢測結果詳情等信息

檢測項支持查看風險描述、風險等級、檢測結果、檢測步驟、檢測詳情（定位至文件，可輸出有風險代碼段或日志信息）、修復建議等信息

★支持在線編輯報告內容，并重新生成編輯后的報告。

★提交apk檢測時，支持單獨輸出其集成的第三方SDK風險信息。第三方SDK風險報告支持在線查看及報告下載。

★支持按風險等級、檢測結果維度顯示報告信息，并生成對應的簡版測評報告

★支持輸出單個應用多版本安全檢測結果分析報告

★支持自動化輸出對標OWASP Mobile TOP10的檢測報告。

底層引擎支持

SDK庫

★Android SDK信息庫存量至少6000+

★iOS SDK信息庫存量至少1000+

要求項

子項

具體要求參數

App基本信息檢測

Android基本信息

支持檢測并列出Android App的基礎信息，包括但不限于：軟件名稱、包名、類型、軟件大小、軟件版本、targetSdkVersion、minSdkVersion、簽名信息，安裝包文件名、散列值（MD5、SHA-1、SHA-256）、App是否加固

iOS 基本信息

支持檢測并列出iOS App的基礎信息，包括但不限于：軟件名稱、包名、類型、軟件大小、軟件版本、簽名信息，安裝包文件名、散列值（MD5、SHA-1、SHA-256）

靜態權限檢測

Android聲明權限

¢分析列出Android App聲明的權限，提供權限名稱、權限含義、權限類型、保護級別、是否為敏感權限、是否使用、是否為可收集個人信息權限

iOS聲明權限

分析列出iOS App聲明的權限，提供權限名稱、權限含義、是否使用、是否為可收集個人信息權限等信息；

使用權限

列出App及SDK在運行過程中可能使用的權限（靜態分析）

列出使用權限所對應的代碼路徑、關鍵代碼、代碼片段（僅適用Android）

聲明權限但未使用情況

檢測并列出App聲明但在運行期間可能未使用的權限，提供權限含義、權限類型、保護級別、是否為敏感權限等信息；

成分檢測

Android SDK信息

檢測并列出Android App集成的SDK的名稱、包名、開發者、類別、描述、來源等信息；

iOS SDK信息

檢測并列出iOS App中集成的SDK的名稱、開發者、類別、描述、來源等信息；

行為檢測

數據通信情況

提供App進行數據通信的域名、IP地址、IP歸屬地、檢測狀態、協議、通信次數等信息，支持查看數據通信的具體內容；

個人信息明文傳輸行為

支持檢測App的網絡數據通信及cookie中是否明文傳輸了個人信息

數據跨境傳輸行為

檢測App是否存在數據跨境傳輸行為；

個人信息明文存儲行為

列出App存儲明文個人信息的情況，包括：時間、代碼片段、存儲位置、明文個人信息、個人信息類別，明文個人信息以紅色區分；

個人信息采集行為

列出App在檢測過程中的個人信息采集行為，行為所依賴的權限、行為發生的時間、總次數、平均每分鐘發生的最高次數，提供對應行為的堆棧信息，便于問題定位；

支持根據行為名稱進行篩選；支持根據檢測狀態進行篩選；支持從“行為”“主體”兩種維度展示個人信息采集行為；

聲明權限但未使用情況

檢測并列出App聲明但在運行期間可能未使用的權限，提供權限含義、權限類型、保護級別、是否為敏感權限等信息；

自啟動/關聯啟動行為

檢測App是否存在自啟動/關聯啟動行為（Android）

熱更新能力檢測

支持檢測App是否存在熱更新能力（Android）

一攬子授權行為

檢測App是否存在一攬子授權行為（Android）

合規檢測

隱私政策

自動合規檢測時支持對App隱私政策文本進行自動化獲取及顯示，支持手動上傳App隱私政策

合規評估

★內置191號文、164號文、165號文、292號文、26號文、自評估指南、國標35273、國標41391等多套合規檢測模板，可依據檢測模板對移動應用程序進行合規檢測，輸出word、pdf報告

（2）支持在Web頁面進行人工檢測并編輯合規檢測結果，輸出全量合規檢測報告

深度

自動化脫殼

產品基礎功能

首頁統計視圖

¢支持展示應用檢測數據統計信息，對檢測趨勢及問題情況進行統計預覽，方便呈現總體檢測情況：支持顯示最近7天/最近30天/最近90天/全部時間檢測的APP數量；支持統計顯示被測APP總數、已完成檢測的App總數、待檢測任務總數、待人工介入的應用數；支持統計顯示App中集成的SDK、使用權限、不合規行為TOP10排行；

樣本管理

新增樣本上傳方式：支持本地單個/批量上傳與URL單個/批量下載方式上傳，支持顯示上傳進度；

支持根據時間、應用名稱、應用類型、平臺類型進行查詢；

支持單個/批量應用的下載、刪除；

任務管理

支持進行單個/批量檢測，每個檢測應用支持顯示子任務狀態，

★支持查看實時檢測詳情， 方便用戶在測試過程中實時查看應用行為，能夠提升測試效率及合規評估效果（截圖）

支持對任務進行單個/批量終止、刪除、重新檢測、下載報告；

支持根據任務名稱、應用名稱、創建者、檢測時間、平臺類型、任務類型、任務狀態等條件進行篩選；

人工檢測時支持頁面錄屏功能，用于證據留存；

人工檢測時支持橫豎屏切換

★任務類型支持：全自動、自動+人工、純人工 三種方式，滿足批量自動化檢測與人工深度檢測場景，人工可對自動化合規檢測結果進行審核修訂，大大降低提升合規檢測效率；（iOS目前只支持純人工任務類型）（截圖）

支持對應用不同版本之間檢測結果進行對比，幫助用戶分析不同版本的集成SDK、權限及合規結果的差異。

報告管理

支持對已完成任務生成的報告進行統一管理，支持單個/批量下載已完成任務的報告，含Word與PDF格式；支持重新生成報告，自定義輸出檢測內容；

報告模板配置，支持創建報告模板，自定義報告模板名稱、報告標題、logo、封面、頁眉、頁腳、單位名稱、公司介紹；

真機管理

¢支持對平臺所連接的檢測真機進行管理查看，修改用途，方便用戶及時了解真機資源使用情況，并及時配置真機屬性

知識庫管理

支持查詢下載常見合規標準政策原文

內容識別配置

（1）內容識別配置支持自定義內容識別關鍵字

（2）支持對內置規則進行編輯、刪除、啟用、禁用

合規檢測策略配置

★支持自定義合規檢測項、檢測點

合規檢測模板配置

★支持自定義配置增加合規檢測模板

SDK配置

支持自定義添加SDK，提升SDK識別能力

IP地址歸屬地配置

支持用戶自主配置IP地址與歸屬地映射關系，形成適合用戶的IP庫

網站設置

支持自定義網站logo、網站icon、產品名稱；

磁盤管理

¢支持通過手動/自動方式清理磁盤空間，便于用戶維護系統空間，提升運維效率；

系統日志

支持記錄用戶操作日志，包括賬號登錄、上傳樣本、創建任務等；便于管理員對系統使用情況進行回溯審查，排查可疑IP登錄操作行為

API管理

（1）支持API對接，可通過API進行新建任務、上傳App、查詢任務列表、查詢任務詳情、下載報告等操作

（2）支持對用戶進行API權限控制，可限定其API權限調用范圍

系統升級

支持在頁面進行系統升級，上傳升級包即可進行

客戶端升級

¢客戶端升級，支持在頁面上傳合規檢測客戶端，方便對真機客戶端檢測軟件進行統一升級