誰かがAndroidベースのJavaソースコードレビューに関する推奨事項を持っているかどうか疑問に思っています。たとえば、セキュリティの問題についてAndroidアプリを確認します。 F/OSSであることのボーナス。
Fortifyは良いオプションのようですが、私の価格帯の範囲外です。 :)
LAPSE + 、 Yasca 、 CodePro AnalytiX 、 Klocwork Solo 、および Teachable Static Analysis Workbench 。
Perlで書かれたいくつかのツールを含むAndroid apps でのファイルアクセスを確認するための静的分析の使用に関するデニムグループのブログ投稿を必ずチェックしてください。
When Angry Birds Attack Android Edition は、チームジョックからの最新のブログ投稿で、Shmooconでこのビデオを 中に発表しました。 [PDF- TEAM JOCH vs. Android:The Ultimate Showdown -PDF]というタイトルのトーク。
Nilsは最近のBlackHatで Building Android Androidのサンドボックス にあるサンドキャッスルについても発表しました。
ENISAは、 Smartphones:情報セキュリティリスク、機会、およびユーザーへの推奨事項 ペーパーを使用して、スマートフォンプラットフォームへのリスクをモデル化することで、より正式な仕事をしました。 Cigitalには、 Moving to Mobile-New Threats に関する少なくとも1つのブログ投稿があり、脅威モデリングのトピックも取り上げています。
ソースコードの静的分析のために、私はこのツールが特にAndroidに役立つことを発見しました。これは OpenGrok と呼ばれる無料のツールで、ソースリポジトリのインデックスを作成できます。複数の言語をサポートしているため、Androidの分析に役立ちましたJavaおよびネイティブコード。 AndroidXRef は、Androidの複数のバージョンの分析に使用できるインデックスもホストしています。 お役に立てれば。
Androidアプリケーションの特定の問題をチェックする2つの無料のオンラインツールを以下に示します。
Comdroid インテントの使用に関連する脆弱性をチェックします。これらの脆弱性の説明とその他の落とし穴については このプレゼンテーション を参照してください。
Stowaway は、特権の超過をチェックします。つまり、アプリケーションが、コードが使用していないように見える権限をアプリケーションが要求しているかどうかを確認します。
これらは調査ツールであることを覚えておいてください。さらに、それらは非常に特定の一連の脆弱性にのみ焦点を当てています。これらは、汎用の静的分析ツールではなく、Android(Fortifyのような)の汎用セキュリティ静的分析ツールの代わりとなるものではありません)。利用可能なツール。
これが基本的すぎると申し訳ありませんが、簡単なオプションがカバーされていることを確認したかったのです。
Eclipseワークフローに FindBugsとPMDによる静的分析 (無料)を追加しました。価格の関係上、まだKlockwork Soloは使いませんでしたが、次のアプリをリリースする前に30日間の試用を利用する予定です。