第三方库: Apple 政策合规

苹果的更严格的 App Store 2025年苹果的政策要求开发者确保所有第三方库都符合高标准的隐私、安全性和性能。未遵从可能导致应用程序被拒绝、收入损失和声誉受损。

关键要点：

Privacy Manifests are Mandatory：从 2024 年 5 月 1 日起，所有应用程序必须包含详细的隐私清单（）来披露第三方 SDK 如何处理用户数据。PrivacyInfo.xcprivacyAudit Third-Party Libraries
：使用工具，如Xcode 15 来生成隐私报告并确保所有 SDK 符合苹果的指南。 Stay Updated
：定期查看苹果的演进政策，更新 SDK，并使用最新版本的__CAPGO_KEEP_0__ Capacitor.
：拒绝往往源于缺失的隐私清单、过时的 SDK 或 API 的不当使用。__CAPGO_KEEP_0__

快速提示：

在Xcode中生成隐私报告以识别合规缺陷。
使用工具，如 npm audit 和 yarn list 进行依赖分析。
考虑实时更新解决方案如 Capgo 以快速修复合规问题而无需等待App Store。

合规不仅仅是避免被拒绝 - 它建立信任、改善用户体验并确保长期在App Store的成功。

如何添加App隐私细节标签（Apple） App Store Connect)

App Store Connect

苹果第三方SDK和隐私要求

苹果对第三方库在 Capacitor应用中设置了严格的规则以确保隐私和安全性审批通过。作为开发者，您对应用中的每一项code都负有责任，包括第三方 SDK，正如 App Store Review Guidelines 中所述。这一责任也包括数据收集和跟踪实践，使了解并遵守苹果隐私标准至关重要。

苹果隐私工程的 Tony Tan 强调这一点：

“您对应用中包含的所有code负责，按照 App Store Review Guidelines 的要求。这包括任何数据收集和跟踪实践。应用的隐私故事中，第三方 SDK 占了很大一部分。我们听说过像您这样的开发者，获取第三方 SDK 提供的所有信息可能会很困难。隐私清单是第三方SDK开发者提供关于其隐私实践信息的新方式。这一信息有助于您准确地在应用中表示隐私。” - Tony Tan，苹果隐私工程 [6]

这体现了苹果致力于确保第三方code与其隐私和安全标准一致。

第三方SDK指南

苹果要求所有第三方库使用公共 API，并在最新的 iOS 版本上顺畅运行。

指南 2.4.5 (第三方软件) 规定第三方 code 必须符合您自己的标准。使用这些库的非公开 API 是拒绝的绝对保证 [10].

指南 5.1.5 (数据收集和存储) 要求处理用户数据的第三方库必须具备强大的安全措施。这包括分析工具和崩溃报告 SDK [1].

此外，应用程序必须通过 AppTrackingTransparency (ATT) 框架 获得用户明确的同意，才能追踪用户或访问他们的广告标识符 [4]苹果还禁止使用设备信号进行唯一识别的指纹识别技术，这一规则直接影响某些分析和欺诈防御 SDK [4].

应用程序必须保持 独立性，这意味着它们不能下载或执行 code 来引入新功能或功能 [1].

隐私清单要求

为了遵守这些指南，苹果要求开发者在隐私清单中详细记录第三方数据处理实践。从2024年5月1日起，提交到App Store Connect的应用程序必须在隐私清单文件中全面描述其使用所需原因API的用途。 [5].

A 隐私清单 是 PrivacyInfo.xcprivacy一个以的形式命名的 [7]. These manifests provide clarity on what data each SDK collects and how it’s used [3].

，必须陪同应用程序和第三方SDK一起分发为XCFrameworks、Swift包或Xcode项目。

这些清单提供了关于每个__CAPGO_KEEP_0__收集的数据以及如何使用它们的清晰信息。: Specifies whether the app or SDK uses data for tracking purposes.
NSPrivacyTracking：指定应用程序或__CAPGO_KEEP_0__是否用于跟踪目的的数据。: 监测跟踪的域名列表 [8].
NSPrivacyCollectedDataTypes: 描述收集的数据类型，例如设备标识符或用户内容 [7][8].
NSPrivacyAccessedAPITypes: 解释为什么访问了敏感的API，包括API类别和批准的使用原因 [8]. 禁止使用某些API进行设备指纹识别 [7][8].

使用Xcode 15，应用程序和所有第三方SDK的隐私清单将自动合并为一个单独的隐私报告 [7][3]. 生成此报告，请导航到 Product > Archive > Generate Privacy Report, 这将为您提供应用程序中数据收集的全面概述 [7][8].

根据SDK的分布方式，实现过程会有所不同。对于提供静态库的SDK，您需要在Xcode 15或更高版本中使用静态框架来正确打包隐私清单文件 [7][8].

截至2024年4月，研究表明，许多应用程序，尤其是在银行和医疗保健等行业，尚未完全实施隐私清单，突出了一个显著的合规缺口 [9].

苹果还推出了 SDK 一同推出了隐私清单。这些签名验证第三方 SDKs 在采用新版本时是由同一开发者签名的，这增加了一层安全性，保护您应用的依赖项免受供应链攻击，并确保应用的完整性 [3].

如何审计第三方库 Capacitor 应用

Capacitor

Auditing third-party libraries in your Capacitor app is a critical step to ensure compliance with Apple’s policies. By leveraging tools like Xcode and conducting thorough dependency analysis, you can identify and address potential issues effectively.

在您的 __CAPGO_KEEP_0__ 应用中审计第三方库是确保遵守苹果政策的关键步骤。通过利用 Xcode 等工具并进行彻底的依赖项分析，您可以有效地识别并解决潜在问题使用 Xcode

隐私报告页面板视图界面

Xcode的隐私报告功能提供了有关您的应用及其集成的 SDKs 处理数据的详细概述。它将隐私清单合并为一个报告，使其更容易看到收集的数据以及如何使用它们。

以下是如何在 Xcode 中生成隐私报告的步骤（需要 Xcode 15 或更高版本）：

打开您的项目在 Xcode 中。
选择 Product > Archive 以创建一个存档；它将在 Organizer 中出现。
在 Organizer 中，右键单击存档并选择 生成隐私报告.
保存报告并检查是否有缺少隐私清单的 SDKs。

此报告对于识别缺乏适当隐私声明的第三方 SDKs 至关重要。例如，2023 年 10 月，CodeWithChris 团队突出了苹果更新的政策，要求所有应用提交包含隐私清单。从 2024 年 5 月 1 日起，这将成为强制性要求。缺少这些声明可能导致 App Store 拒绝，因此在提交之前检查 Xcode 隐私报告至关重要，以确保所有披露都是准确的。

虽然 Xcode 的隐私报告是一个很好的起点，但额外的工具和方法可以加强您的审计过程。

依赖性分析工具

为了确保全面遵守隐私报告，使用Xcode的这些额外工具和技术：

依赖项审查与 package.json: 使用命令 npm ls 或 yarn list 来识别项目中的直接和间接依赖项。
安全漏洞检查： 运行工具 npm audit 或 yarn audit 来扫描您的依赖项以识别已知的安全漏洞。按照建议应用更新或修补程序。
Capacitor特定的安全实践： 特别关注数据安全、身份验证、网络安全和网页视图配置等方面。例如：
- 避免在code中嵌入敏感信息（例如API密钥）。而是将它们在服务器端管理。
- Use secure keychain or keystore methods for storing sensitive data locally.
内容安全策略（CSP）： 为您的Capacitor Web View 配置强大的 CSP，以限制应用程序可以加载的资源，减少未经授权脚本的暴露.
从SDK 开发者处请求隐私清单： 如果SDK 缺少隐私清单，请联系其开发者并请求一份.
查看苹果的文档： 验证您的应用程序遵守苹果的指南，了解数据使用和所需 API 的相关信息，参考他们的官方文档.

值得注意的是，许多SDK 开发者可以将隐私清单添加到他们库的现有版本中。这意味着您可能不需要更新到最新版本来满足合规要求。但是，仍然建议您了解您的依赖项的更新和变化.

在Capacitor 项目中实施合规性

一旦您对库进行了审计，下一步就是实施修复。这涉及创建隐私清单、管理高风险的 SDK 和自动化合规性检查。

创建和管理隐私清单

隐私清单是关键文件，概述了您的应用程序及其 SDK 如何处理用户数据。对于提交到 App Store 的应用程序，苹果要求这些声明。

在 Capacitor 中设置隐私清单

要在项目中包含隐私清单，请确保您正在使用兼容的 Capacitor 版本，例如 Capacitor 8.0.0 或更高版本 [12].

隐私清单文件，命名为 PrivacyInfo.xcprivacy，可以嵌入应用程序和第三方 SDK 分发为 XCFrameworks、Swift 包或框架捆绑的应用程序中 [15]该文件指定 SDK 收集的数据类型、每种数据类型的目的、是否与用户相关以及是否用于跟踪 [11].

如果 SDK 缺少隐私清单

对于不提供隐私清单的 SDK，您需要手动将必要的声明添加到应用程序的清单中，基于 SDK 的 API 使用 [13]例如， Situm SDK 要求您声明数据类型，如精确位置、设备 ID 和性能数据 [14].

管理高风险 SDK

近期的安全漏洞突出了管理高风险 SDK 的重要性。采用“了解您的 SDK” 的方法可以帮助减轻这些风险。这涉及测试二进制文件并使用自定义脚本来检测受限 API [16][17][18].

使用静态和动态分析工具来检查您的应用程序的二进制文件并确定 SDK 如何收集和传输数据 [16]如果您发现受限 API，请考虑将它们替换为内部解决方案以减少对第三方 code 的依赖并最小化漏洞 [17].

持续监控是关键

定期 SDK 审计是保持合规的关键 [17]您负责确保您的应用程序中的每个 SDK 都有有效的签名和适当的隐私清单。否则，可能会导致您的应用程序被 App Store 拒绝 [17].

Capgo 提供了一个解决方案，简化了这个过程并通过实时更新和流程化的合规工作流来简化

Capgo 简化合规

Capgo 实时更新控制台界面

Capgo 提供了管理合规挑战的实用解决方案，尤其是在实时更新至关重要的情况下。通过 Capgo，您可以立即推送合规修复，绕过 App Store 审核的需要。

本功能在隐私清单发布期间证明了其价值。开发者能够快速解决合规问题，而不必等待App Store的批准。

无缝部署

Capgo的实时更新系统允许您在实时部署修复，避免由App Store审查引起的延迟。其无缝的CI/CD集成和全球交付系统确保更新快速推送，保持您的应用程序与新政策保持一致 [19].

自动合规Capgo

Capgo的CI/CD集成使得自动化合规检查和部署变得容易。当自动化测试检测到合规问题或新隐私要求出现时，您可以配置管道以使用Capgo的实时更新系统部署修复。这一方法有助于您在演进的政策中保持领先，同时确保平滑的用户体验

提交前合规检查清单

在将Capacitor应用程序提交到App Store之前，务必要完成详细的合规审查。这一步确保您的应用程序符合Apple的第三方库的要求，并避免因拒绝而导致的延迟

验证隐私声明

确保所有隐私声明都是完整和准确的。每个第三方SDK在您的应用程序中都必须要么包含自己的隐私清单，要么在应用程序级别的清单中进行账户。使用Xcode 15在App Store Connect中生成一个综合隐私报告。

确保每个SDK的隐私清单与其实际功能相符。例如，调整SDK 提供了一个清单，列出了其数据跟踪使用和相关隐私标签 [20]如果SDK没有包含隐私清单，您需要更新您的应用清单来反映其数据使用 [20]从春季 2024 年开始，苹果将要求应用程序包含所有影响用户隐私的 SDK 的隐私清单 [11].

另外，请确保所有影响隐私的 SDK 都已由开发者正确签名。这一步会增强软件供应链安全性并减少漏洞 [11]一旦所有检查通过，请在 Xcode 中测试这些设置以确认准确性

在 Xcode 中测试

验证您的隐私声明后，请使用 Xcode 测试您的应用程序。利用 Points of Interest 工具来识别可能跟踪用户的网络连接。这项工具有助于您确定哪些域名应该在您的隐私清单中列为跟踪域名。另外，请确保您的隐私清单文件已正确添加到您的应用目标资源中，以便 Xcode 可以正确编译信息 [7].

通过 TestFlight扩大您的测试范围，通过多台设备运行您的应用程序。这一测试阶段对于在提交应用程序到 App Store 评审之前发现潜在问题至关重要 [22].

常见错误和解决方法

测试完成后，解决以下常见的合规问题，以确保顺利提交流程：

隐私声明不完整： 如果在 App Store 审核期间出现警告，请重新检查您的应用程序的 code 以确认所有必填项都已包含 [21]. 检查每个第三方库的文档，以了解其数据收集和处理实践
缺失或错误的隐私清单： 验证每个隐私清单准确地代表了 SDK 的功能。如果需要，请与 SDK 的官方文档进行交叉引用 [11].
未签名的第三方 SDK： Xcode 将标记未被开发者正确签名的 SDK [3]. 如果发生这种情况，请联系供应商获取更新版本或考虑切换到遵守苹果签名标准的替代 SDK
不准确的元数据： 确保您的应用程序的描述和关键词准确反映其功能，特别是在数据收集和第三方集成方面。不匹配的元数据可能导致拒绝 [22].
性能问题： 使用 Xcode 的调试工具来识别和修复内存泄露或优化性能。请密切关注第三方库对启动时间和响应性影响 [22].

如果在提交后出现合规问题，工具如 Capgo 的实时更新系统可以成为救命稻草。 Capgo 允许您在等待 App Store 审批之前部署实时修复，帮助您在保持顺滑用户体验的同时，遵守不断演进的政策

长期合规

苹果的政策不断演进，而对于 __CAPGO_KEEP_0__ 开发者来说，跟上这些变化是一个持续的挑战。规则不断变化——新的要求出现，已有的指南也会更新。要保持合规，需要主动监控这些变化，利用自动化，并确保您的部署流程可以快速适应 Capacitor developers苹果频繁更新 App Store Review 指南，而

苹果 App Store 和 Google Play 中的 85% 移动应用程序都存在安全和隐私问题

。这突出了保持政策变化的重要性，以避免掉入大多数人中一项策略是建立一个月度审查周期，并维护一个合规日历来跟踪重要更新和截止日期。订阅苹果开发者通知，并密切关注行业频道可以帮助您捕捉到微小的指南变化。开发者经常会错过苹果在 iOS 主要版本发布之间引入的重要更新。 [24]__CAPGO_KEEP_0__

__CAPGO_KEEP_1__

Quarterly reviews: Assess platform updates for OS compatibility and API changes.
Weekly checks: Address security patches to handle vulnerabilities and encryption updates [23].

Beyond Apple’s official resources, developer communities and industry publications can offer early insights into potential policy shifts. These discussions often surface weeks before changes are widely known, giving you extra time to prepare.

It’s also smart to document every policy change that impacts your app’s third-party libraries. A simple spreadsheet can track the date of the change, affected libraries, required actions, and deadlines. This documentation not only helps during compliance audits but also gives you a clearer picture of Apple’s policy trends over time.

To manage these updates more efficiently, automation is key.

Automating Compliance Checks

As your app grows and incorporates more third-party libraries, manual compliance checks become impractical. Early security scanning is critical, as 70% of security breaches stem from vulnerable code [25]. Automation can help you catch and address these issues early.

这里是如何将自动化集成到您的工作流程中：

静态应用安全测试 (SAST): 这些工具会自动扫描您的 code 在每次提交时，早期识别出漏洞。
自动依赖分析: 将其纳入您的 CI/CD pipeline。由于 82% 的应用程序使用开源组件 - 很多组件有已知的安全漏洞 [25] - 类似于 npm audit 的工具可以在应用程序进入生产环境之前标记过时的库和漏洞。
根据 Code : 这种方法允许将符合性要求视为软件，支持版本控制、测试和自动执行。使用 Policy as Code 的组织报告符合性验证 比传统方法快 30% [25].
实时扫描: 在开发过程中持续监控您的代码库可以防止非符合性 code 入侵主分支。 65% 的组织在将符合性检查直接整合到开发周期时会看到安全事件的减少 [25].

Capgo 实时更新

自动化只是解决方案的一部分。当出现符合性问题时，传统的更新周期可能会让您暴露在周长的风险中。这种情况是 Capgo 的优势所在，它提供了实时更新来立即解决符合性问题。

Capgo 使用 端到端加密 以确保这些更新符合苹果严格的安全标准。与其他平台使用的基本签名方法不同，Capgo 的加密与苹果对第三方集成的日益严格要求相符。

该平台还包括一个 回滚功能，如果一项合规性更新引起意外问题，例如隐私清单更新或库替换引入问题，你可以立即切换回上一个版本，同时继续寻找长期解决方案。

“现在快速获取反馈非常重要。我们应该在早期阶段添加安全测试并获取安全报告，以了解code可能存在导致高安全漏洞的内容。这就是DevOps的全部意义。”

潘诺斯·梅格雷米斯，Camelot彩票解决方案测试首席软件工程师 [24]

Capgo与CI/CD管道无缝集成，允许合规性更新作为您的开发工作流程的一部分自动化。自动扫描检测到漏洞或政策违规时，Capgo可以直接将修复部署到受影响用户处。这减少了手动工作量并确保对新威胁的快速响应。

有 95%的更新在24小时内完成Capgo确保合规性修复快速到达用户。这种速度在苹果宣布政策变化并给予紧迫期限时尤其重要，尤其是对于安全相关的更新。

结论： App Store 成功的合规性

App Store

不必感到畏惧地应对苹果的合规性要求。正确的策略可以让合规性从障碍转变为您的应用的优势。

translations

Meeting Apple’s compliance standards is essential for unlocking your app’s full potential. Apple processes 50% of app reviews within 24 hours and 90% within 48 hours [26], so being prepared ensures your app reaches users faster.

The journey to compliance starts with understanding Apple’s privacy manifest requirements and third-party SDK guidelines. Regularly auditing your app using tools like Xcode reports and dependency analysis helps identify and resolve potential issues before they lead to rejections. By proactively managing privacy manifests and high-risk SDKs, you can keep your app aligned with Apple’s evolving rules.

Consistent auditing and automation are key to staying compliant. Embedding compliance checks into your CI/CD pipeline allows you to catch vulnerabilities early and adapt to policy updates seamlessly. Actions like staying updated on Apple’s guidelines, maintaining clear privacy policies, prioritizing data protection, and conducting usability tests are essential steps [2]. Establishing a compliance framework with regular audits and an internal repository of standards ensures your app remains prepared for the long run.

Beyond technical considerations, compliance builds trust. Demonstrating reliability and user safety leads to better reviews, more downloads, and reduces the risk of app removal [2]. These strategies are critical for achieving App Store success and fostering long-term user confidence.

A live update solution can further streamline compliance efforts, helping you stay ahead of challenges as they arise.

Capgo可以帮助您

Implementing these best practices is easier with a live update solution tailored to your workflow. Capgo simplifies compliance by turning it into a proactive process, already relied upon by thousands of apps in production.

Capgo的平台特点包括端到端加密，确保实时更新符合苹果严格的安全标准。通过CI/CD的无缝集成和即时回滚功能，您的应用程序始终保持合规和安全状态。

对于Capacitor开发者，Capgo自动扫描并启用快速更新，允许您立即处理违规问题 - 避免App Store延迟。该平台的能力 95%的更新在24小时内 确保您始终领先于政策变化，而不是在调整时慌乱。

随着苹果的政策继续演进，拥有可靠的实时更新解决方案如Capgo对于维持应用程序的竞争力和在App Store中获得用户信任至关重要。

常见问题

::: faq

开发者如何确保Capacitor应用中的第三方库符合苹果App Store的要求?

为了确保您Capacitor应用中的第三方库符合苹果App Store的政策，您需要做以下事情：

添加隐私清单: 对于每个第三方 SDK，包括详细的隐私清单。该文件应清晰地说明收集的数据以及为什么收集。它是App Store提交的必备要求，并有助于确保与苹果和您的用户之间的透明度。
在App Store Connect中说明数据使用: 清晰地说明您的应用及其第三方库如何管理用户数据。如果数据用于跟踪，请在提交中说明，并确保通过AppTrackingTransparency框架获得用户同意，该框架在iOS 14.5中引入。

通过遵循这些步骤，您将遵守苹果的政策，并建立信任与您的用户。像 Capgo 这样的工具可以使这个过程更容易，让您在实时更新您的 Capacitor 应用时，无需等待应用商店重新审批，保持您的应用符合和最新化，无需麻烦。

:::

How does Capgo’s live update system help ensure compliance with Apple’s App Store policies?

如何确保 Capgo 的实时更新系统符合苹果的App Store 政策？ __CAPGO_KEEP_0__ 的实时更新系统为开发者提供了一种方式来保持与苹果的App Store 政策的同步，通过允许实时更新 隐私规则 和 用户数据保护.

通过 Capgo, 开发者可以保持应用程序的正常运行和符合法规，同时避免不必要的延迟。具有端到端加密和实时更新的功能确保更新符合苹果和安卓标准，使其成为长期维持符合性的一种可靠选择。 :::