安全漏洞扫描等保测评无法通过，有几个是官方的sdk问题，请问下官方会解决吗？有什么解决方案吗？

欢迎到专业群（ uni-app 官方技术交流群 1 ） 咨询，群中有相关专业的管理员和群友。

针对您提出的安全漏洞扫描和等保测评无法通过，且部分问题指向官方SDK的情况，我为您梳理了DCloud官方的处理原则和解决方案。

官方是否会解决SDK相关的安全漏洞？

会的，但会根据风险等级和问题归属来区分处理。官方的处理原则如下：

1. 风险等级与处理优先级：官方会优先解决高风险和中风险的安全漏洞。对于低风险问题，理论上不会影响应用的整体安全质量，因此通常情况不会解决。
2. 问题代码归属判定：这是最关键的一步。您需要查看安全检测报告中漏洞详情的“漏洞代码”类名来判断问题来源：
   • DCloud官方代码：如果类名以 io.dcloud 开头，则属于DCloud的代码。对于这类问题，官方会尽快处理解决，或提供相关配置方案。
   • 第三方SDK代码：如果类名是其他字符开头（如 com.taobao、com.baidu 等），则是您项目中集成的某个功能模块引入的第三方SDK。由于官方没有源码，无法直接修改。此时需要您根据业务需求评估是否继续使用该模块，同时也可向对应平台反馈，等待其SDK更新。
   • uni原生插件代码：这类代码由插件作者维护，需要您直接联系插件作者解决。

以上原则的详细信息，请参考官方文档：安全漏洞风险问题的处理原则

有什么解决方案？

针对您“安卓云打包”的情况，有以下几种核心解决方案，您可以组合使用：

1. 使用APK加固（最直接有效的方案）
很多安全平台会将所有潜在风险都列出，其中不乏误报或夸大隐患的情况。APK加固可以有效应对大部分此类问题。

• 推荐方案：官方推荐使用 uni安全加固，该服务由蚂蚁小程序云提供支持，可有效提升应用整体安全性。
• 备选方案：您也可以使用其他第三方加固服务，如腾讯云、360加固宝等。在HBuilderX中云打包后，对生成的APK文件进行加固，再提交检测。

2. 更新HBuilderX版本并重新打包
官方会持续优化云端打包环境，修复已知的安全问题。请确保您使用的是最新版本的HBuilderX。

• 操作：升级到最新正式版或Alpha版HBuilderX后，重新进行云端打包，再用新的APK进行检测。

3. 使用官方推荐的等保测评服务
为了减少因三方测评机构对DCloud产品不了解而产生的误报和反复沟通，DCloud可以提供等保测评服务。

• 核心优势：DCloud对自有产品的测评流程有丰富经验，能准确、安全、及时地出具评测报告，并解决引擎相关的安全问题，帮助您顺利过保。
• 咨询方式：点此咨询DCloud等保测评服务

4. 针对具体漏洞的排查与处理

• 隐私合规问题：如果报告中指出在用户同意隐私政策前，APP或SDK提前收集了个人信息，请务必配置使用template模板的隐私弹窗。详情参考：Android平台隐私与政策提示框
• 组件导出风险：对于报告中提到的Activity、Service、Broadcast Receiver等组件导出风险，部分组件因功能需要必须设置为导出，这通常不是真正的安全问题。加固方案一般可以覆盖此类风险。如果您是离线打包，可以尝试在AndroidManifest.xml中修改相应组件的android:exported属性为false（需谨慎，可能影响功能）。

总结建议：
您可以先采取 “升级HBuilderX + 云打包 + uni安全加固” 的组合策略。如果加固后仍有部分高风险漏洞指向 io.dcloud 开头的代码，请在官方论坛ask发帖反馈，并上传完整的安全检测报告及APK文件，官方会跟进处理。