跳过内容

MASVS-PRIVACY-1

该应用最大程度地减少对敏感数据和资源的访问。

应用仅应请求其功能绝对必需的数据访问权限,并始终在获得用户的知情同意后进行。此控制确保应用实践数据最小化并限制访问控制,从而降低数据泄露或泄漏的潜在影响。

此外,应用仅应在必要时与第三方共享数据,并且应强制第三方 SDK 在用户同意的基础上运行,而不是默认或未经同意的情况下运行。应用应阻止第三方 SDK 忽略同意信号,或在确认同意之前收集数据。

此外,应用应了解其包含的 SDK 的“供应链”,确保没有数据不必要地传递到其依赖链中。这种端到端的数据责任与最近的 SBOM 监管要求相一致,使应用对其数据实践更负责任。