兩款免費的Android應用代碼安全檢測工具

FreeBuf前不久剛剛 報道過 ，美圖秀秀、gReader、福昕PDF閱讀器等14款Android應用易遭中間人攻擊。今天，央視《 新聞直播間 》也用“黃金三分鐘”介紹了安卓手機上存在的名為“寄生獸”的通用型安全漏洞，影響規模達到數以千萬級的用戶，市面上安卓90％APP都中招。

今年6月Android智能手機在美國的市場份額上升2.8%，達到64.9%。而這帶給安卓開發者及用戶更多的則是對移動安全及隱私問題的擔憂。

如果你是正在開發手機應用的程序員，那你應該閱讀一下 OWASP手機-十大移動威脅 。或許你會好奇哪些安全工具可以幫助你解決安卓應用程序日益增長的復雜性難題。嗯，其實是 很多 工具的。

這篇文章將介紹兩個免費的靜態分析工具，可以從集成開發環境（IDE）直接掃描你的代碼。

Android Lint

它有什么用？

檢測列表 是相當長，而安全檢測的數量卻十分有限。通常重要的定期檢測仍在使用這個工具。

安裝包

沒有！正如之前提到的，這是IDE 安卓工作時官方的，但是如果你只想要與安全相關的檢測，你可以使用這個“ 只要安全 ”文件。

視頻演示

FindBugs 與 Find Security Bugs插件

這是個什么？

FindBugs 是一款受歡迎的靜態分析引擎，廣泛用于Java社區。發現安全漏洞（ Find Security Bugs ）是一該工具的一個插件，為分析提供了安全規范。

它有什么用？

安全插件 FindSecBugs 的主要焦點在于標記漏洞，比如應用程序中不安全的通訊、 密碼學的誤用 以及一些 敏感部分 。

安裝包

FindBugs的安裝及配置可以通過 幾個簡單點擊 就能完成。如果你仍然堅持使用Eclipse（前官方IDE），Eclipse市場中也有一個相同的插件。

視頻演示

這里有一個簡短的視頻，展示了FindBugs在安卓工作室的集成。

（注意：這里使用的是Find Security Bugs的一個舊版本）

接下來，我們再聊點什么呢？

不幸的是，程序客戶端安全問題僅僅是冰山一角。你的應用程序后端也特別需要注意。畢竟，OWASP十大移動威脅的頭號風險便是 薄弱的服務器端控制 。

另一個不錯的建議便是在持續集成環境中將這兩種工具結合使用。

BlackHat USA 2015 即將到來

我將在 黑帽大會 上展示FindBugs的安全插件，演示IntelliJ和SonarQube的集成。如果你已經使用了該工具，有任何問題都請不要猶豫地反饋給我。

如果你從事的是安卓開發工作，也不要錯過在同一時間段的 QARK的展示 。

如果你有任何可以運用到安卓上的新安全規范，不要猶豫快去GitHub吧。

參考文獻

OWASP：Source Code Analysis Tools 靜態代碼分析工具列表

NIST：Source Code Security Analyzers 另一些不錯的按語言分類的工具列表

Android Lint ：Android Lint的官方文件

Find Security Bugs ：Github網站的FindBugs安全插件

Mobile Security Wiki：一個全面的資源列表，包括用于安卓的工具

*參考來源： blog ，轉載需注明來自FreeBuf黑客與極客（FreeBuf.COM）