移动客户端应用软件研发规范
目 次
范围 4
规范性引用文件 4
术语和定义 4
缩略语 5
移动客户端应用软件技术规范 5
兼容性 5
性能 6
稳定性 6
会话机制 6
版本更新 7
三方SDK管理 7
生物特征 7
多站点和CDN 7
无障碍 8
共存性 8
移动客户端应用软件安全规范 8
应用程序 8
运行环境 8
身份认证 9
密码 9
网络通信 9
数据存储 10
个人信息保护 10
移动客户端应用软件质量管理规范 10
需求分析阶段 10
架构设计与开发阶段 11
测试阶段 11
发布阶段 12
运行阶段 13
移动客户端应用软件研发规范
范围
本标准规定了移动客户端软件技术规范、安全规范以及软件质量管理等要求。
本标准适用于移动客户端应用软件的设计、开发、测试、发布和维护过程,也适用于主管监管部门、第三方评估机构对相关应用进行安全性和标准符合性的评估。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本
(包括所有的修改单)适用于本文件。
GB/T35273-2020信息安全技术个人信息安全规范
GB/T37668-2019信息技术互联网内容无障碍可访问性技术要求与测试方法GB/T39786-2021信息安全技术信息系统密码应用基本要求
JR/T0171—2020个人金融信息保护技术规范
JR/T0192—2020证券期货业移动互联网应用程序安全规范
JR/T0092—2019移动金融客户端应用软件安全管理规范JR/T0191—2020证券期货业软件测试指南软件安全测试
术语和定义
下列术语和定义适用于本文件。
移动客户端应用软件mobileapplicationsoftware在移动终端上为用户提供服务的应用软件。
注:包括但不限于可执行文件、组件等。
个人金融信息personalfinancialinformation
金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。
注:包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
支付敏感信息paymentsensitiveinformation
支付信息中涉及支付主体隐私和身份识别的重要信息。
注:包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。
指纹识别fingerprintrecognition
以人手指指纹作为识别个体身份的一种个人生物特征识别方法。人脸识别facerecognition
以人面部特征作为识别个体身份的一种个体生物特征识别方法。其通过分析提取用户人脸图像数字特征产生样本特征序列,并将该样本特征序列与已存储的模板特征序列进行比对,用于识别用户身份。
注:从应用方式不同,人脸识别可分为人脸验证和人脸辨识。代码评审sourcecodereview
是指通过阅读代码来检查源代码与编码标准的符合性以及代码质量的活动。代码混淆sourcecodeobfuscation
是将计算机程序的源代码转换成难于阅读和理解的形式的行为。签名signature
包含有公钥的公钥证书。其中的公钥用来认证数字签名,而不能加密数据或执行其他的密码功能。
会话Session
一个终端用户与交互系统进行通讯的过程。动态调试Dynamicdebugging
破解者利用调试器跟踪软件的运行,寻求破解的途径。
缩略语
下列缩略语适用于本文件。
APP:客户端应用软件(Applicationsoftware)SDK:软件开发工具包(SoftwareDevelopmentKit)IP:网际互连协议(InternetProtocol)
CDN:内容分发网络(ContentDeliveryNetwork)
移动客户端应用软件技术规范
兼容性
移动客户端应用软件需满足不同设备多系统版本下都能正常运行,应具备以下兼容性要求:
支持主流软件系统:Android、iOS和HarmonyOS(鸿蒙);
最低支持Android4.4系统版本、iOS9.0系统版本和HarmonyOS全部系统版本;
对主流移动设备、屏幕分辨率均能提供稳定的支持,每个版本发布前使用兼容性测试平台对主流机型进行深度兼容测试;
对主流折叠屏或平板类设备提供主体功能的正常使用;
对三大运营商网络环境均能提供流畅的功能体验,同时支持IPv4和IP