国内大厂首次推出Android统一标准--安卓绿色联盟

国内Android开发良莠不齐，开发质量绝大多数都是不合格的产品，只为了上线而开发，没有任何的规范和约束。从安全和性能来说，绝大多数App在这方面都是考虑不完善的，安全风险高，性能差，99%的app都存在安全风险和漏洞。总体上给用户的体验就很差劲，老有人抱怨说Android多难用，太坑。其实一个是手机厂商定制化严重，更多的是App开发商不注重性能、安全、稳定性等质量上的把关。所以，以华为打头的国内几个大厂开始联合打造一个统一的质量标准，也就是“安卓绿色联盟”。

一、2018年移动应用测评相关报告

注：由于报告上面的文字太多，不便于查阅，我就把它们全部做成了一个表格，方便查看。

（一）Testin云测发布2018年度移动应用安全报告

参考：2018年度移动应用安全报告

总体概况

分类概况

（二）爱加密全国移动APP安全性研究报告

参考：全国移动APP安全性研究报告

移动应用安全平台扫描了 270 多万个 APP，其中，有漏洞的 APP 约 183 万个，占监测总数的 67.77%。

约 181 万个 APP 存在高危漏洞，占监测总数的 67.04%。

（三）2018年Android应用安全白皮书

参考：2018年Android应用安全白皮书

选取了2018年下载量较高的1404个APP应用，进行漏洞扫描。

image.png

二、简介

安卓绿色联盟是中国首个致力于提升安卓应用体验的联合组织。安卓绿色联盟是一个开放的非盈利性组织，欢迎更多的企业加入其中，旨在共同构建中国安卓绿色应用环境，打造安全，可靠，信赖，健康的应用生态，不断给用户带来极致的应用体验，联盟成立后迅速吸引众多企业加盟，队伍在不断壮大中。

安卓绿色联盟2016年11月14日由华为主导，联合阿里巴巴、百度、腾讯、网易四家企业共同发起的。五家创始企业在电商、生活服务、搜索、社交应用、游戏、大文娱以及终端设备层面都具有极高的主流代表性，涉及的应用多达 500多个，涵盖了众多主流移动应用，几乎覆盖所有国内终端用户，集众家之所长优化应用体验，共同制定行业标准打造生态环境，为全行业和广大消费者服务。

安卓绿色联盟官网：https://www.androidga.com/

三、五大体系

（1）兼容性标准

问题描述	判定标准	合格用例
应用安装	判断应用在测试过程中是否出现安装不成功现象。	应用能成功安装，或者应用在卸载之后，再次成功安装。
启动	判断应用在启动后在未做任何操作前应用是否出现以下情况：如启动闪退、启动卡死、启动后资源加载失败等。	应用正常启动成功
崩溃	判断应用在运行过程中，是否出现异常，弹出崩溃对话框，导致应用不可用、退出应用的情况。	应用在运行过程中无崩溃
无响应(ANR)	判断在用户正常操作的情况下，应用是否在运行过程中突然会弹出对话框，出现"Application Not Responding"错误，提示用户是否选择关闭该程序或是继续等待。	应用在运行过程中不出现"Application Not Responding"错误
黑白边	判断应用的UI是否出现不适配屏幕，在屏幕的某一个侧边出现全黑屏或白屏的现象。	应用在启动后，不出现黑边或白边的情形
系统特性支持	系统特性支持包含：应用能否正确调用相机拍照功能、调用选取图片功能、调用定位功能、调用麦克风识别语音的功能、正确旋转屏幕和应用指定兼容的目标系统版本是否通过。	调用相机拍照功能成功、调用选取图片功能成功、调用定位功能成功、调用麦克风识别语音的功能成功、应用旋转屏幕成功、TargetSdkVersion>=23时通过，否则失败。
账号异常	在使用正常的应用账号在网络正常的情况下，是否无法登陆该应用。	应用能正确完成内置账号以及第三方账号的登录认证功能
UI适配	App运行测试过程中是否出现的UI展示异常的情况：如黑屏、花屏、白屏、文字异常、展示缺失等。	应用中的控件不发生变形、错位、缺失或冗余。

（2）稳定性标准

问题描述	判定标准	合格用例
1.启动崩溃率	应用一天中出现的Crash总数在应用一天中总启动次数中的比率。启动崩溃率=(应用一天中出现的Crash总数/应用一天中总体的启动次数)x100%	一天中启动崩溃率 ≤ 0.2%(具体不同类型app可以略有不同)
2.用户或设备崩溃率	一天中出现Crash的用户数(设备数)在整体活跃用户数（活跃设备数）中的比率。用户或设备崩溃率=(应用一天中发生的Crash的用户数(去重)/应用一天中总体的活跃用户数)x100%	一天中用户或设备崩溃率 ≤ 0.2%(具体不同类型app可以略有不同)

问题描述	判定标准	合格用例
1.崩溃率线下测试	a. 稳定性测试要覆盖80%用户的主流机型 b. 安装、启动等场景必须覆盖 c. Monkey确保覆盖页面>70% d. 完成8小时Monkey不出现崩溃	覆盖机型：至少覆盖应用目标用户机型分布中top10，保证80%的机型被覆盖到。覆盖场景：全新安装、覆盖安装、冷启动、热启动及8小时Monkey，Monkey过程要能覆盖登录与非登录状态，通过优化执行路径、多机运行累加结果等方式，保证页面覆盖率>70%。
2.崩溃信息收集及处理标准	是否有完善的线上Crash上报及处理机制	获取信息包括但不限定于： a. 手机基础信息，如品牌、机型、系统版本、地理位置、运营商、网络类型、用户名等 b. Crash堆栈信息 c. 日志信息：用户操作日志、系统日志等 d.聚合大量同类Crash后，给出此Crash发生的特征数据，如机型分布、应用版本分布、地理分布等信息，方便进行问题定位

应用类型	参考启动崩溃率	参考设备崩溃率
影音娱乐	0.15%	0.2%
社交通讯	0.15%	0.2%
游戏	0.15%	0.2%
购物	0.15%	0.2%
金融理财	0.15%	0.2%
实用工具	0.15%	0.2%
导航	0.15%	0.2%
新闻阅读	0.2%	0.3%
教育	0.2%	0.3%

（3）安全标准

3.1 基础安全标准

问题描述	合格用例	详细说明
安装，运行及卸载
-	1.应用在用户未授权情况下，不能进行程序下载、安装、或升级操作；
-	2.应用在用户未授权情况下，不能执行自启动操作；
-	3.应用在用户强制关闭或退出后，不能继续占用系统资源；
功能使用
-	1.应用在用户未授权情况下，不能执行拨打电话、发送短信等操作；
-	2.应用在用户未授权情况下，不能执行摄像、录音、截屏等操作；
-	3.应用在用户未授权情况下，不能打开或关闭如WiFi、蓝牙、GPS等；
数据操作
-	1.应用在用户未授权情况下，不能读写用户短信、联系人等隐私数据；
-	2.应用在用户未授权情况下，不能收集或上报用户设备、系统及应用程序信息；
-	3.应用在用户未授权情况下，不能修改系统配置等资源文件；
-	4.应用在用户未授权情况下，不能修改其他应用程序的权限、数据等；
行为规范
-	1.应用在用户未授权情况下，不能进行消费操作；
-	2.应用不能包含故意破坏用户使用体验、阻碍用户正常使用手机或应用的任何行为；
-	3.应用中不能包含任何侵犯用户知情权、选择权的恶意行为；
-	4.应用在用户未授权情况下，不能利用漏洞等方式获取系统控制权限，进行非授权操作；
-	5.如无必要的使用场景，应用不能在桌面、锁屏和其他应用上，弹出悬浮窗、自定义后台Toast、后台弹出Activity等骚扰用户的行为；	1.应用锁屏通知开关处于关闭状态时，禁止在锁屏弹出任何信息。 2.仅允许导航、音乐、运动健康类应用的主功能，在锁屏上显示全屏覆盖界面；例如导航-路线导航、音乐-音乐播放、运动健康-记步轨迹。 3.在锁屏或其他应用界面上，仅允许聊天消息、短信息、闹钟等对推送有实时性要求的信息和弹出界面。 4.应用不能在未经用户主动设置或者用户主动发起时，弹出界面覆盖到桌面或其他应用之上。
-	6.如无必要的使用场景，应用不能发送无法删除的常驻通知；	仅允许音乐、下载，在离开应用界面后，不能在通知栏显示常驻通知，导致用户无法清除。
-	7.应用不能弹出、显示影响用户体验的广告，如抬头、强制插屏、侧边等；	1.禁止弹出任何广告界面覆盖在原有应用功能界面之上。 2.允许和原有界面功能平铺在一个界面的非弹出式广告（如微信朋友圈）。
-	8.应用不能引导用户开启开发者选项，禁止引导用户开启USB调试模式；	开发者选项和USB调试功能属于开发者调试设备的选项，禁止应用引导用户开启。
其他标准
-	1.应用不能包含病毒、木马；
-	2.应用不能包含漏洞、后门；
-	3.应用不能包含国家法律禁止的内容，包括但不限于色情，赌博，或任何危害国家安全的信息；
-	4.应用不能包含其他任何形式损害用户利益及资产的行为；
-	5.应用不能通过热补丁，引入恶意行为和不符合本标准的行为；

3.2 开发安全标准

3.2.1 Manifest和权限使用安全规范

注：权限的申请和使用应满足最小化原则。

问题描述	合格用例	详细说明
1.权限管理
-	1)不申请不需要使用的权限，为自定义权限设置合理的安全保护级别；	申请权限满足最小化原则，申请权限申请的权限全部为应用功能所需，不申请多余的权限；应用自定义权限，自行根据数据和行为的安全敏感度，设置合理的安全保护级别。
-	2)应用申请的权限，都必须有明确、合理的功能和使用场景；	使用权限满足最小化原则，只有使用应用的某个功能，而对应到的某个权限为该功能和合理要求时，才允许使用相应权限。比如某聊天软件，必须在进行视频聊天、拍照等功能需要的场景下，才允许使用摄像头，而在其附属的新闻浏览功能中，不允许使用摄像头。
-	3)TargetSdkVersion>=23，必须适配Android M及以后版本的动态权限机制。	必须适配Android M及以后版本的动态权限机制，并且强烈建议适配到Android O（TargetSdkVersion>=26）。
-	4)对于非核心权限，应用不能在权限动态弹框授权提示被用户拒绝后，强制要求用户开启，包括但不限于：a.应用退出；b.弹框提醒用户打开>=2次；
2.功能项管理	关闭不需要及有风险的功能选项，如数据备份功能、调试功能；
3.组件管理	组件声明的合理性，避免导出不需要外部调用的组件，如需导出应设置合理的权限保护；

3.2.2 应用编码安全规范

问题描述	合格用例
1.基础编码安全规范	1) 保证开发环境的安全性，如使用官方渠道下载的开发工具； 2) 避免硬编码关键数据，如加密密钥、后端服务器敏感信息等； 3) 应用代码净化，代码逻辑优化、剔除应用中的死代码块； 4) 统一的日志管理接口，避免在日志中记录敏感信息； 5) 应用发布之前，关闭调试接口和调试日志。
2.系统API使用安全规范	1) 使用官方推荐版本的API接口，不使用系统废弃的API 2) 熟悉并遵从安全规范，避免遗漏安全限制操作，引入安全风险； 3) 对关键操作身份校验和权限检查；
3.第三方代码使用安全规范	1) 代码评估。来源可靠性评估、代码质量评估、潜在安全风险评估； 2) 权限控制。确认引入代码所需使用的权限最小化； 3) 更新维护。关注代码的安全动态和版本更新情况，及时修复安全问题，更新代码； 4) 安全保护。对引入的代码进行混淆，防止攻击者针对性的攻击；
4.代码保护安全规范	1) 代码混淆。提高攻击者代码分析难度； 2) 加固保护。使用自研或者第三方加固系统进行应用加固，进行代码隐藏和加密保护；

3.2.3 数据安全规范

问题描述	合格用例
1.数据加密安全规范	1) 数据密文和加密密钥应存放在不同的位置； 2) 密钥存储模块应具备防调试及反编译的能力； 3) 密钥数据应分散存储，为获取密钥密文增大难度
2.数据存储安全规范	1) 应用程序关键数据应该存放在私有目录下，并设置合理的访问权限； 2) 应用程序中的隐私数据应加密存储。用于加密的密钥应妥善保存； 3) 禁止程序运行日志中包含有用户敏感数据、程序调试数据等；
3.数据使用安全规范	1) 数据合法性保护。控制用户输入数据的类型、长度，进行恶意代码过滤等； 2) 数据完整和有效性保护。对于接收到的外部数据、加载的外部文件，进行完整、有效性性检查；

3.2.4 通信安全

问题描述	合格用例
1.本地通信安全	1) intent数据安全。避免在intent包含用户敏感数据，从intent中获取数据时加入必要的异常处理； 2) intent scheme url 协议安全。使用过程中加入安全限制，防止UXSS等安全问题； 3) 组件调用方式安全。避免通过隐式方式进行调用组件，防止组件劫持； 4) 本地socket通信安全。避免是使用socket方式进行本地通信，如需使用，localhost端口号随机生成，并对端口连接对象进行身份认证和鉴权；
2.远程通信安全	1) 使用https代替http进行通信，并对https证书进行严格校验； 2) 避免进行远程端口开发通信，如需使用，需要对端口连接对象进行身份认证和鉴权；

问题描述

合格用例

1.本地通信安全

1) intent数据安全。避免在intent包含用户敏感数据，从intent中获取数据时加入必要的异常处理；
2) intent scheme url 协议安全。使用过程中加入安全限制，防止UXSS等安全问题；
3) 组件调用方式安全。避免通过隐式方式进行调用组件，防止组件劫持；
4) 本地socket通信安全。避免是使用socket方式进行本地通信，如需使用，localhost端口号随机生成，并对端口连接对象进行身份认证和鉴权；

2.远程通信安全

1) 使用https代替http进行通信，并对https证书进行严格校验；
2) 避免进行远程端口开发通信，如需使用，需要对端口连接对象进行身份认证和鉴权；

3.2.5 业务安全

问题描述	合格用例
1.认证和授权	1) 认证和授权过程应在服务器端完成，避免客户端绕过问题； 2) 对于涉及敏感信息的服务，每次使用前需进行身份认证； 3) 控制登录凭证token有效期，通信过程中进行token鉴权； 4) 避免在终端设备上使用不安全的方法来存储用户名、口令及其它登录凭证； 5) 用户密码需要使用强不可逆的加密算法加密后传输，并引入salt，提高破解难度； 6) 账户号和终端设备信息进行绑定，防止终端模拟攻击；
2.业务逻辑及数据安全	1) 条件判断。确保逻辑过程中前置判断条件的有效性、不可绕过性，防止攻击者进行数据修改绕过安全限制； 2) 逻辑设计。确保业务逻辑设计、分支条件及边界条件处理的正确性和完备性，防止不可控执行流程； 3) 工作分配。确保服务端和客户端分工正确，防止一些应该放在服务端的校验工作设置在了客户端，造成权限校验绕过； 4) 业务数据。关键业务数据防篡改、防伪造、防重放； 5) 短信验证码安全。禁止验证码回传行为，验证码至少6位,同时严格限定验证码时效；
3.业务运维安全	1) 业务风险监控、预警、异常处理预案； 2) 安全动态跟踪及预警、安全事件排查、漏洞修复；

3.2.6 运行环境安全

问题描述	合格用例
运行环境安全	1) 运行期重打包检测； 2) 模拟器运行环境检测； 3) 调试、注入操作监控； 4) root环境运行检测；

3.2.7 隐私安全

问题描述	合格用例
隐私安全	1) 涉及到应用下载软件、对用户系统或软件升级等修改用户个人空间的行为，须得到用户的同意 2) 收集或使用个人数据前，须明确提示用户，并获得用户的明示同意，并且允许用户随时关闭对个人数据的收集和使用 3) 默认禁止收集数据主体的敏感个人数据，除非业务必需（如：运动健康类业务）或为了满足法律与监管机构要求可收集和处理（含profiling），并且同意应该单独收集 4) 应提供对用户的同意和撤销同意行为进行记录的机制 5) 隐私声明内容发生变化时，须告知用户查看并获得用户同意 6) 个人数据收集范围、使用目的不得超出隐私声明，且遵循最小化原则，当个人数据的采集范围、使用目的发生变更时，应及时更新隐私声明 7) 于存储个人数据的系统，需对存储的个人数据定义存留期 8) 数据主体撤销同意之后，产品必须禁止继续收集和处理其相应个人数据 9) 将数据主体个人数据提供给第三方前，必须获得数据主体的同意 10) 推送的内容（含广告）必须是符合政治、法律和宗教要求，并且推送频度不能干扰用户正常使用 11) 第三方应用软件调用移动智能终端敏感功能时，应先获得用户明确同意 12) 第三方应用软件对用户数据操作时，应先获得用户明确同意 13) 应用软件不得申请和调用与提供服务无关的终端功能

问题描述

合格用例

隐私安全

1) 涉及到应用下载软件、对用户系统或软件升级等修改用户个人空间的行为，须得到用户的同意
2) 收集或使用个人数据前，须明确提示用户，并获得用户的明示同意，并且允许用户随时关闭对个人数据的收集和使用
3) 默认禁止收集数据主体的敏感个人数据，除非业务必需（如：运动健康类业务）或为了满足法律与监管机构要求可收集和处理（含profiling），并且同意应该单独收集
4) 应提供对用户的同意和撤销同意行为进行记录的机制
5) 隐私声明内容发生变化时，须告知用户查看并获得用户同意
6) 个人数据收集范围、使用目的不得超出隐私声明，且遵循最小化原则，当个人数据的采集范围、使用目的发生变更时，应及时更新隐私声明
7) 于存储个人数据的系统，需对存储的个人数据定义存留期
8) 数据主体撤销同意之后，产品必须禁止继续收集和处理其相应个人数据
9) 将数据主体个人数据提供给第三方前，必须获得数据主体的同意
10) 推送的内容（含广告）必须是符合政治、法律和宗教要求，并且推送频度不能干扰用户正常使用
11) 第三方应用软件调用移动智能终端敏感功能时，应先获得用户明确同意
12) 第三方应用软件对用户数据操作时，应先获得用户明确同意
13) 应用软件不得申请和调用与提供服务无关的终端功能

（4）功耗标准

问题描述	判定标准	合格用例	特殊考虑事项
后台处理器占用	测量应用在后台时对处理器的占用及Wake Lock设置情况	1. 平均每小时占用处理器累计时间不超过90秒，即处理器平均占用率不超过2.5% 2. 禁止应用设置WakeLock	以下场景除外： 1. 后台播放视频、音乐或观看直播时 2. 后台导航时 3. 后台下载视频、音乐或离线地图时 4. 后台进行收发消息、游戏挂机时 5. 后台欺诈拦截、网络安全扫描、流量监控、定时提醒时
后台屏幕占用	测量应用在后台时对屏幕的占用	1. 不允许一切后台应用阻止屏幕自动变暗或关闭 2. 不允许应用在屏幕变暗或关闭时点亮屏幕	以下场景除外：后台收发消息、定时提醒时
后台无线网络占用	测量应用在后台时对无线网络的占用（无线网络包括：Wi-Fi、数据连接、蓝牙及红外等无线信号网络。）	1. 平均每小时使用无线网络传输数据时间不超过5分钟 2. 平均每小时对无线网络的扫描不超过60次	以下场景除外： 1. 后台播放在线视频、音乐或观看直播时 2. 后台导航时 3. 后台下载视频、音乐或离线地图时 4. 后台进行收发消息时 5. 后台欺诈拦截、网络安全扫描或流量监控时
后台音频设备占用	测量应用在后台时对音频设备的占用	禁止此情况下应用使用麦克风或扬声器	以下场景除外： 1. 后台播放在线视频、音乐或观看直播时 2. 后台导航时 3. 后台定时提醒时
后台摄像头占用	测量应用在后台时对摄像头的占用（摄像头包含：前置摄像头、后置摄像头、红外摄像头及闪光灯）	禁止此情况下应用使用摄像头或闪光灯
后台定位传感器占用	测量应用在后台时对定位传感器的占用	禁止此情况下应用使用定位传感器	以下场景除外： 1. 后台导航时2. 后台轨迹追踪时 3. 后台下载离线地图时
后台动作传感器占用	测量应用在后台时对动作传感器的占用	禁止此情况下应用使用动作传感器	以下场景除外： 1. 后台导航时 2. 后台记步时
后台Alarm占用	测量应用在后台时对Alarm的占用	平均每小时通过Alarm调起的次数不超过20次	以下场景除外： 1. 后台播放视频时 2. 后台收发消息时

（5）性能标准

5.1 适用范围

应用类型	核心场景
便捷生活类	进入应用主功能界面
出行导航类	进入位置搜索页面
购物比价类	进入购物首页，页面含商品列表、搜索栏等。
拍摄美化	进入应用主功能界面
社交通讯类	登陆后进入主界面收/发消息或：登陆后进入主界面
实用工具	邮箱类：启动应用 - 登陆邮箱 - 收取邮件（邮箱内已有邮件列表超过10封）
新闻阅读类	启动应用 - 进入首页 - 刷新新闻列表 -滑动新闻列表
学习办公	进入应用主功能界面
影音娱乐	进入应用主功能界面
游戏	进入应用主功能界面

5.2 性能测试标准

问题描述	判定标准	合格用例
冷启动时间	点击图标到应用完全启动的时间。	冷启动时间应 ≤ 1000毫秒
热启动时间	应用之前被打开过，无关闭应用行为，从后台重新切换到前台的时间。	热启动时间应 ≤ 500毫秒
界面帧率	应用界面滑动时的帧率。	1.普通应用的帧率应 ≥ 55fps 2. 游戏类、地图类和视频类的帧率应 ≥ 25fps
过度绘制	应用界面的绘制情况，不允许存在4x过度绘制及超过屏幕1/3区域的3x过度绘制。	1.不允许存在4x过度绘制（红色区域）； 2.不允许存在面积超过屏幕1/3区域的3x过度绘制（淡红色区域）
Stricmode	通过开发者选项“strict mode”设置，检查所有界面操作	各类应用的所有界面操作不允许有红框闪烁
内存泄露	应用的内存泄漏。	应用禁止存在Activity级别的内存泄露。
前台内存占用	应用在前台使用过程中的内存占用情况。（被测应用完全启动30秒后，开始测量内存消耗）	各类应用在前台的内存占用应 ≤ 500MB
后台亮屏内存占用	测量应用在后台且亮屏一段时间时的内存占用。（被测应用切换到后台5分钟后亮屏状态下测量内存消耗）	各类应用在后台且亮屏5分钟的内存占用应 ≤ 400MB
后台灭屏内存占用	测量应用在后台且灭屏一段时间时的内存占用。（被测应用切换到后台,灭屏1分钟后测量内存消耗）	各类应用在后台且灭屏1分钟的内存占用应 ≤ 400MB
后台亮屏CPU占用	应用在后台且亮屏一段时间时的CPU占用。（被测应用切换到后台，等待5分钟稳定后，检测被测应用5分钟内CPU usertime+systemTime）	各类应用在后台且亮屏5分钟的CPU占用应 ≤ 2%
后台灭屏CPU占用	测量应用在后台且灭屏一段时间时的CPU占用。（被测应用切换到后台，灭屏后等待5分钟稳定，检测被测应用5分钟内cpu usertime+systemTime）	各类应用在后台且灭屏5分钟的CPU占用应 ≤ 2%

本文参考资料：

安卓绿色联盟官网
《安卓绿色联盟应用体验标准2.0》关键信息和华为解读