Tous les outils utiles pour Android revue de code source?
Je me demande si quelqu'un a des recommandations pour Android Revue de code source qui est Java basé. Par exemple, examinez une application Android pour des problèmes de sécurité. Bonus pour être f/ooss.
Fortify semble être une bonne option mais hors de ma gamme de prix. :)
Essayez LAPSE + , Yasca , codePro Analytix , klocwork Solo et le ESPECTABLE STATIQUE analyse de l'analyse .
Assurez-vous de consulter le blog du groupe de denim sur tilisation de l'analyse statique pour examiner l'accès des fichiers dans Android applications , qui inclut certains outils écrits dans Perl.
quand des oiseaux en colère attaquent Android édition est le dernier article de blog de l'équipe Jock, qui a présenté cette recherche pendant cette vidéo à Shmoocon avec un Parlez intitulé [PDF - - Team Joch vs. Android: The Ultimate Showdown - PDF].
Nils a également présenté sur bâtiment Android Sandcastles dans la bac à sable d'Android à un Blackhat récent.
Enisa a fait un travail plus formel pour modéliser les risques pour les plates-formes de smartphone avec leur smartphones: risques de sécurité de l'information, opportunités et recommandations pour les utilisateurs papier. CIGital a au moins un article de blog sur en mouvement sur mobile - de nouvelles menaces qui couvre également des sujets de modélisation de la menace.
Pour une analyse statique du code source, j'ai trouvé cet outil utile spécialement pour Android. C'est un outil gratuit appelé OpenGrok , qui peut indexer un référentiel source. Il prend en charge plusieurs langues afin d'avoir été utile pour analyse des Androids Java et code natif. Androidxref héberge également un index pouvant être utilisé pour l'analyse de plusieurs versions d'Android . J'espère que cela t'aides.
Voici deux outils en ligne gratuits qui recherchent certains problèmes spécifiques avec Android Applications:
Comdroid vérifie les vulnérabilités liées à l'utilisation d'intentions. Voir cette présentation pour la description de ces vulnérabilités et d'autres pièges.
Stowaway Vérification du surprivilge: c'est-à-dire qu'il vérifie si l'application demande des autorisations que son code ne semble pas utiliser.
N'oubliez pas que ce sont des outils de recherche. De plus, ils se concentrent uniquement sur un ensemble de vulnérabilités très spécifiques. Ils ne sont pas un outil d'analyse statique à usage général et ne remplacent pas un outil d'analyse statique de sécurité à usage général pour Android (comme Fortify); ils sont mieux considérés comme un complément pour les autres Outils disponibles pour vous.
Désolé si c'est trop basique, mais je voulais m'assurer que les options faciles sont couvertes.
Je viens d'ajouter analyse statique avec Findbugs et PMD (gratuit) à mon flux de travail Eclipse. Je ne suis pas encore allé avec Klockwork Solo à cause du prix, mais je prévois d'utiliser l'essai de 30 jours avant de libérer ma prochaine application.