移动端代码质量管理与安全检测评估

内容导航：

移动端代码质量管理与安全检测评估

谁能简单讲讲手机应用软件安全性测试要测试什么啊？

华为手机显示该“应用不符合《华为终端质量检测和安全审查标准》,可能运行不佳...”,安装后会出问题吗

《中国移动网络与信息安全应急响应技术规范与指南》中检测阶段工作流程分为几

一、移动端代码质量管理与安全检测评估

在前面的文章中已经详细介绍过Jenkins、Sonarqube的安装、配置及使用，对于Web端的代码质量管理通常相对容易，Jenkins配套Sonarqube很方便就能搞定。但是对于移动端来说，尤其iOS，集成和使用的复杂性会大幅提高，目前网络上有一些介绍的方法，但实际操作的过程中会存在很多坑。本篇文章，就带大家详细实操移动端代码质量扫描与安全检测评估。

一、代码质量扫描

Android的Sonarqube相对简单，这里不做过多介绍，重点介绍iOS的代码质量扫描。iOS代码质量扫描的核心是如何支持Objective-C和Swift的扫描。SonarQubeCommunity社区版免费开源，一般来说，社区版就符合大多数开发者的需求，针对大多数语言都可以免费扫描。然而对于iOS，社区版不支持Objective-C和Swift的扫描，因此网络上有单身做了相应的开源插件sonar-swift来实现iOS的代码扫描。sonar-swift的github地址为https://github.com/Idean/sonar-swift，根据官方文档使用该插件的前提是要安装SonarQube、SonarQube Scanner、xcpretty、SwiftLint、Tailor、slather、lizard、OCLint。SonarQube和SonarQube Scanner在前面的文章中已经详细介绍过了，其他几个依赖我们一次介绍下。

（1）xcpretty安装

xcpretty是格式化xcodebuild输入的工具，使用ruby开发，安装命令如下：

git clone https://github.com/Backelite/xcpretty.gitcd xcprettygit checkout fix/duration_of_failed_tests_workaroundgem build xcpretty.gemspecsudo gem install --both xcpretty-0.2.2.gem

（2）SwiftLint安装

SwiftLint 是一个用于强制检查 Swift 代码风格和规定的一个工具，基本上以 Ray Wenderlich's Swift代码风格指南为基础。

安装命令如下：

brew install swiftlint

（3）Tailor安装

Tailor是一个用于苹果的Swift编程语言编写的源代码的静态分析和lint工具。安装命令如下：

brew install tailor

（4）slather安装

slather为Xcode项目生成测试覆盖率报告并将其连接到CI。安装命令如下：

sudo gem install -n /usr/local/bin slather

（5）lizard安装

Lizard是一个可扩展的圈复杂度分析插件，适用于许多编程语言，包括C/C++（不需要所有头文件或Java导入）。安装命令如下：

sudo pip3 install lizard

（6）OCLint安装

OCLint 是一种静态代码分析工具，用于通过检查 C、C++ 和 Objective-C 代码来提高质量并减少缺陷。

安装命令如下：

brew install oclint

（7）下载并安装完上述依赖后，通过https://github.com/Idean/sonar-swift下载jar文件，并将下载的jar文件放到本地SonarQube安装目录的插件目录下，通常为/usr/local/Cellar/sonarqube/xxx/libexec/extensions/plugins目录下。这时在SonarQube安装目录的bin目录下执行./sonar start，可能会报错导致SonarQube无法启动。原因是如果SonarQube的版本是9以上，官方的sonar-swift的jar为0.4.6版本，导致无法启动，需要在另一个分支上找适配的版本： https://github.com/estebanhiguitad/sonar-swift/releases，下载0.4.7版本即可。

（8）在iOS项目的根目录下创建sonar-project.properties和run-sonar-swift.sh两个文件。

1）其中sonar-project.properties为SonarQube相关的配置文件，可以直接拷贝https://raw.githubusercontent.com/Backelite/sonar-swift/master/sonar-project.properties，然后根据自己的项目做相应的配置修改，其中比较关键的如下：

# 项目使用的语言sonar.language=swift# Project description# 源代码目录sonar.sources=XXX# Destination Simulator to run surefire# As string expected in destination argument of xcodebuild command# Example = sonar.swift.simulator=platform=iOS Simulator,name=iPhone 6,OS=9.2指定模拟器，这里会有一个坑，为了配合run-sonar-swift.sh这个脚本，此处是必填项，可能存在找不到相应模拟器的问题，我们在run-sonar-swift.sh这个文件中做相应修改。sonar.swift.simulator=platform=iOS Simulator,name=iPhone 13,OS=15.0# 指定工程名或者空间名sonar.swift.project=XXX.xcodeprojsonar.swift.workspace=XXX.xcworkspace# 配置Schemesonar.swift.appScheme= XXX

2）下载https://raw.githubusercontent.com/Backelite/sonar-swift/master/sonar-swift-plugin/src/main/shell/run-sonar-swift.sh的run-sonar-swift.sh文件，并修改其中的内容将 build-for-testing和destinationSimulator去掉buildCmd=($XCODEBUILD_CMD clean)

echo -n 'Building & extracting Xcode project information'if [[ "$workspaceFile" != "" ]] ; thenbuildCmd+=(-workspace "$workspaceFile")elsebuildCmd+=(-project "$projectFile")fibuildCmd+=(-scheme $appScheme)runCommand xcodebuild.log "${buildCmd[@]}"

这样就不会出现找不到模拟器的问题，完美解决。

（9）执行iOS代码扫描

启动SonarQube，在项目根目录下执行bash run-sonar-swift.sh -nounittests -v命令，根据sonar-project.properties的配置，会自动进行代码扫描，扫描完成后在SonarQube即可看到相应的报告。

二、安全检测评估

移动端安全检测我们采用MobSF，移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用（Android / iOS）自动测试框架，能够对iOS和Android 应用进行静态和动态分析（动态分析目前只支持Android）。MobSF可以有效、快速地对应用APK 和IPA文件及压缩的源代码进行审计分析。MobSF的安装和使用参照官方文档https://mobsf.github.io/docs/#/zh-cn/。安装和使用以MAC为例。

(1) 安装git,或者直接通过github上下载压缩包

sudo apt-get install git

(2) 安装Python

sudo apt-get install python3.8

注意MAC电脑上默认安装有安装Python ，需要修改环境变量以便切换到python3。

(3) 安装 JDK 8+

sudo apt-get install openjdk-8-jdk

(4) 安装以下依赖

sudo apt install python3-dev python3-venv python3-pip build-essential libffi-dev libssl-dev libxml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev wkhtmltopdf

依赖包括xml解析、pdf生成等插件。

(5) 安装MobSF

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.gitcd Mobile-Security-Framework-MobSF./setup.sh

(6) 运行MobSF

./run.sh 127.0.0.1:8000

(7) 运行MobSF

在浏览器中，打开 http://localhost:8000/ 访问 MobSF Web界面。

三、Jenkins集成sonar-swift和MobSF

由于MobSF需要上传APK 或IPA，因此需要在使用MobSF框架前将相应的包打包出来备用。采用Jenkins实现代码扫描和安全检测自动化有两种方式，一种是在Jenkins中新建两个任务，分别进行代码扫描、编译打包和安全检测；另一种方式是同一个任务中设置依赖，先进行代码扫描、编译打包，然后再进行安全检测，我们以第一种方式为例。

（1）代码扫描、编译打包

新建一个自由风格的Jenkins项目，常规的配置代码获取等在之前的文章中有介绍，这里不再赘述。

上图中的两个run-sonar-swift.sh和build.sh均位于iOS项目的根目录，build.sh为命令行编译打包的脚本，可以参考网上的相关文章进行编写。在构建步骤执行这两个步骤后就能将sonar-swift扫描的结果呈现到SonarQube上，并且打包出来ipa。

（2）安全检测

1）在Jenkins中新建一个Pipeline项目，在构建触发器选择依赖上一个编译打包的工程。

2）MobSF启动后访问http://127.0.0.1:8000/api_docs，获取REST API Key。

3）在Pipeline项目配置中添加脚本

脚本内容如下：

pipeline {agent anystages{stage('Analysis') {steps {script {echo 'start Upload'//上传应用包def AUTH_KEY = 'MobSF的REST API Key'upload_cmd ="curl -F'file=@ipa文件所在的具体路径'http://localhost:8000/api/v1/upload -H 'Authorization:${AUTH_KEY}'"upload_result = sh label: 'Upload Binary', returnStdout: true, script: upload_cmd}}}}}

4）执行Jenkins任务，构建完成后ipa包直接上传到MobSF平台作静态分析。

一、谁能简单讲讲手机应用软件安全性测试要测试什么啊？

1、文件检测：检查dex、res文件是否存在源代码、资源文件被窃取、替换等安全问题。2、漏洞扫描：扫描签名、XML文件是否存在安全漏洞、存在被注入、嵌入代码等风险。3、后门检测：检测App是否存在被二次打包，然后植入后门程序或第三方代码等风险。

二、华为手机显示该“应用不符合《华为终端质量检测和安全审查标准》,可能运行不佳...”,安装后会出问题吗

不会，手机本身不会有任何问题，最多就是你安装的这个程序无法使用。有时都是手机的误报，许多程序安装的时候手机自带的管家之类的都会显示程序有问题实际没有。只要你自己觉得安装的是正规软件就没问题

三、《中国移动网络与信息安全应急响应技术规范与指南》中检测阶段工作流程分为几

　1、准备工作

此阶段以预防为主，在事件真正发生前为应急响应做好准备。主要包括以下几项内容：制定用于应急响应工作流程的文档计划，并建立一组基于威胁态势的合理防御措施；制定预警与报警的方式流程，建立一组尽可能高效的事件处理程序；

建立备份的体系和流程，按照相关网络安全政策配置安全设备和软件；建立一个支持事件响应活动的基础设施，获得处理问题必备的资源和人员，进行相关的安全培训，可以进行应急响应事件处理的预演方案。

2、事件监测

识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵，需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准，需要决定是否关闭被破坏的系统及是否继续业务，是否继续收集入侵者活动数据（包括保护这些活动的相关证据）。通报信息的数据和类型，通知什么人。主要包括以下几种处理方法：

布局入侵检测设备、全局预警系统，确定网络异常情况；

预估事件的范围和影响的严重程度，来决定启动相应的应急响应的方案；

事件的风险危害有多大，涉及到多少网络，影响了多少主机，情况危急程度；

确定事件责任人人选，即指定一个责任人全权处理此事件并给予必要资源；

攻击者利用的漏洞传播的范围有多大，通过汇总，确定是否发生了全网的大规模入侵事件；

　　3、抑制处置

在入侵检测系统检测到有安全事件发生之后，抑制的目的在于限制攻击范围，限制潜在的损失与破坏，在事件被抑制以后，应该找出事件根源并彻底根除；然后就该着手系统恢复，把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。

收集入侵相关的所有资料，收集并保护证据，保证安全地获取并且保存证据；

确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务；

通过对有关恶意代码或行为的分析结果，找出事件根源明确相应的补救措施并彻底清除，并对攻击源进行准确定位并采取措施将其中断；

清理系统、恢复数据、程序、服务，把所有被攻破的系统和网络设备彻底还原到正常的任务状态。

4、应急场景