Mi chiedo se qualcuno ha delle raccomandazioni per la revisione del codice sorgente Android che è basata su Java. Ad esempio, rivedere un'app Android per problemi di sicurezza. Bonus per essere F / OSS.
Fortifica sembra essere una buona opzione ma fuori dalla mia fascia di prezzo. :)
Prova LAPSE + , Yasca , CodePro AnalytiX , < a href="http://www.klocwork.com/products/solo/"> Klocwork Solo e Workbench Analisi Teachable statico .
Assicurati di dare un'occhiata al post sul blog di The Denim Group su Utilizzo dell'analisi statica per esaminare l'accesso ai file nelle app Android , che include alcuni strumenti scritti in Perl.
Quando Angry Birds Attack Android Edition è l'ultimo blog post da TEAM JOCK, che ha presentato questa ricerca durante questo video su Shmoocon con un talk intitolato [ PDF - TEAM JOCH vs Android: The Ultimate Showdown - PDF].
Nils presentato anche su Costruire castelli di sabbia Android in Android sandbox in una recente BlackHat
L'ENISA ha svolto un lavoro più formale nella modellizzazione dei rischi per le piattaforme smartphone con i loro Smartphone: rischi per la sicurezza delle informazioni, opportunità e raccomandazioni per gli utenti carta. Cigital ha almeno un post sul blog su Spostamento su dispositivo mobile - Nuove minacce che tratta anche argomenti di modellazione delle minacce.
Ecco due strumenti online gratuiti che controllano determinati problemi specifici con le applicazioni Android:
Comdroid verifica la presenza di vulnerabilità legate all'uso di Intents. Vedi questa presentazione per la descrizione di tali vulnerabilità e altre insidie.
Stowaway controlla l'eccesso di privilegi: vale a dire, controlla se l'applicazione richiede permessi che il suo codice non fa Mi sembra di usare.
Ricorda che questi sono strumenti di ricerca. Inoltre, si concentrano solo su un insieme molto specifico di vulnerabilità. Non sono uno strumento di analisi statica di uso generale e non sono sostitutivi di uno strumento di analisi statica di sicurezza per scopi generici per Android (come Fortify); sono pensati meglio come supplemento per gli altri strumenti a tua disposizione.
Per l'analisi statica del codice sorgente ho trovato questo strumento utile specialmente per Android. È uno strumento gratuito chiamato OpenGrok , che può indicizzare un repository sorgente. Supporta più lingue, quindi è stato utile per l'analisi di Androids Java e del codice nativo. AndroidXRef ospita anche un indice che può essere utilizzato per l'analisi di più versioni di Android. Spero che questo aiuti.
Scusa se è troppo semplice, ma volevo assicurarmi che le opzioni semplici fossero coperte.
Ho appena aggiunto analisi statiche con FindBugs e PMD (gratuito) al mio Eclipse flusso di lavoro. Non sono ancora andato con Klockwork Solo a causa del prezzo, ma ho intenzione di utilizzare la versione di prova di 30 giorni prima di rilasciare la mia prossima app.
Leggi altre domande sui tag java mobile android appsec code-review