作为 Android 工程师进行尽职调查

作者： 伊山·卡纳 , 高级软件工程师, Android

我最近发表了关于作为 Android 工程师进行尽职调查的演讲。在参与了多个涉及与第三方供应商 SDK 集成的项目之后，我收集了我的经验并提出了一个框架。在这篇文章中，我将讨论尽职调查的五类，以及如何采取积极主动的方法。

什么是尽职调查？

在法律术语中，关于第 3 方 SDK 的尽职调查是指合理的企业或开发人员在与具有一定谨慎标准的另一方签订任何协议或合同之前应采取的调查或谨慎行动。我喜欢将其描述为我即将进行的第 3 方集成的保险单。这样做可以保护您、您的公司和您的客户免受潜在风险的影响。

它为什么如此重要？

进行尽职调查有很多影响，可能会影响您的业务和客户。虽然这可能不是最有趣的尝试，但它确实有助于防止对应用程序性能、开发人员满意度以及最终对您的业务造成损害。例如：

• 如果供应商发生数据泄露并且他们可以访问您的 IP 或客户的财务信息
• 如果供应商不支持您的应用程序中的语言
• 如果供应商没有适当的文件，并且您因他们犯的错误而合法地陷入困境
• 如果供应商库阻碍了您的应用程序的性能

这些只是为什么执行尽职调查对您的申请成功至关重要的几个例子。这听起来可能有点压倒性，但不一定如此。以下是您应该对 SDK 进行尽职调查的五个类别的高级概述。

安全

安全审查似乎是一件轻而易举的事，但您会惊讶地发现这种情况经常不受检查。进入供应商合作伙伴关系需要供应商对您的应用程序具有一定程度的可访问性。要跟踪的关键要素：

• 数据采集
• 数据存储
• 数据通讯
• 数据加密
• 追踪
• PII 收集、存储和通信

验证供应商的安全性可以说是最重要的因素之一，因为它与您业务的不同方面相关，而不仅仅是您的应用程序。要进行尽职调查，请查看他们采用了哪些安全措施。询问它们是否符合 SOC 2 或 PCI。通过组织的安全测试运行它们。执行严格的安全检查可让您免于因数据泄露而头疼的问题。最后，在此搜索中与法律合作。在 Tinder，我们与我们的法律团队合作，以确保遵守每个供应商合作伙伴关系。我们的跨职能合作伙伴关系从技术和业务角度增强了 Tinder 的安全性。

文档

在寻找供应商时，拥有清楚说明服务条款的文档至关重要。与供应商签订协议时请考虑以下事项：

• 许可结构
• 安装和使用
• 陷阱
• 详细程度
• 更新频率

考虑许可结构、安装和使用，以及供应商更新文档的频率。询问潜在的注意事项，例如需要访问相机才能使用库。查看他们是否有博客或白皮书等形式的支持文档，因为它们有助于故障排除。而且，一定要问他们是否定期更新他们的文档。

定制

SDK 的好坏取决于它如何适应您的应用程序环境。要记住的关键要素是：

• 本土化
• 可访问性
• UI 可配置性
• 用户体验可配置性
• 暗模式兼容性

定制是关键，特别是如果您的应用程序以多种语言运行。从视觉的角度来看，理解可访问性以及 UX 和 UI 可配置性也必须考虑在内。不要忘记暗模式兼容性。如果 SDK 提供此功能，它将如何影响您的应用程序的外观和感觉？这很重要，因为定制会影响您的客户与您的应用程序的交互方式。

一体化

在集成阶段，您很可能处于幕后并正在评估代码。请注意：

• 消费与交付
• 依赖项
• 最低 SDK 要求
• 权限
• 初始化
• 错误处理和记录
• Proguard 配置

检查您是否有权访问 SDK 的历史版本并了解潜在的依赖项。例如，如果您升级库，请确定它是否会影响应用程序的其他部分。某些库可能会要求您提高项目构建所针对的最低 SDK 版本。清楚地了解权限，因为权限的数量会影响用户行为。

表现

最后但并非最不重要的一点是，了解 SDK 的性能与与您的应用程序的成功集成相关。请记住这些：

• 建造
• APK / 包大小
• 启动时间
• 内存和磁盘使用情况
• 网络
• 电池
• 用户界面

了解它如何影响您的构建时间。询问分析和缓存。了解他们用于网络和安全消息传递的内容。了解电池寿命可能受到的影响。从 UI 的角度来看，检查性能是否缓慢或有问题，因为这些因素会改变用户的体验。

结论

对 3rd 方 SDK 进行尽职调查是一项彻底但必要的冒险。它让您主动了解 SDK 如何适合您的应用程序及其性能。更重要的是，它可以保护您免受潜在的法律、安全和财务问题的影响。当您开始与供应商接触时，请记住这五个类别，它们将为您提供良好的服务。

请继续关注更深入的清单！

有兴趣了解有关尽职调查的更多信息吗？ ** 听我讲。**

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明

本文链接：https://www.qanswer.top/38188/07362012