火线扫描Android静态代码

最新推荐文章于 2024-05-16 18:56:03 发布
最新推荐文章于 2024-05-16 18:56:03 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: 环境和工具配置 Android 天南地北 文章标签: android 火线扫描 静态扫描 安全扫描 360火线
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2show/article/details/73022668
版权

火线扫描是由360公司内部孵化出的免费静态代码扫描工具, 它目前最新版本v1.2.4主要针对Android静态代码的安全问题进行扫描. 在360内部该方案也服务于360安全卫士、手机助手、手机浏览器等15个App. 据火线的开发者说后续可能会对Kotlin(Android first-class开发语言)扫描、IOS扫描、圈复杂度和覆盖率统计等提供支持.并且火线是本地部署, 可以避免代码泄露和其他安全信息泄露的风险. 推荐结合jenkins, sonar等使用, 作为App上线的checklist之一.

规则集

火线的规则集按照不同的类型分为四种, 分别是安全类, 日志类, 内存类和基础类. 同时根据规则的严重程度分为了四个级别, 分别是Block, 风险, 优化和建议. 具体的规则分布如下图所示.

类型/等级/个安全类日志类内存类基础类
Block6100
风险3034
优化00050
建议1207
总数103361

  • 安全类

    从危险等级的规则数分布来看, 安全类的权重还是很大的, 就像火线的宣传主要是安卓APP安全检查规则一样. 规则主要覆盖了Android中信息泄露, 系统漏洞, 越权绕过, 拒绝服务, 远程提权, sql注入等场景进行扫描.

  • 日志类

    日志类的规则很少, 主要限定了敏感信息的打印, Log方法中对变量进行赋值操作和日志开关的位置.

  • 内存类

    内存方面扫描针对资源对象使用完成后没有关闭, 或者数据库操作相关的资源对象没有关闭等. 这些场景Sonar都有覆盖.

  • 基础类

    基础类主要集中在Java代码规范和少部分Android特性上, 在Java规范方面火线的覆盖不如Sonar全面. 可以配合Sonar一起使用.

接入指引

  1. 下载jar包, 使用命令行运行
  2. Android Studio插件 (推荐)
  3. Gradle部署
  4. Jenkins集成 (推荐)

转载请注明出处:http://blog.csdn.net/l2show/article/details/73022668

Jesse-csdn
关注
专栏目录
android静态代码扫描,Android 静态代码扫描流程及工具说明
weixin_35578748的博客
05-26 1662
1. 静态扫描流程1.1 版本发布流程大致分为5个阶段,静态代码扫描的工作在第3步进行,如图:版本发布流程图1.2 典型案例分析[空指针]空指针引用[内存泄露]Stream资源关闭[性能]使用indexOf(字符)[兼容]系统API兼容性隐患[越界]数组下标越界隐患[异常] 使用除法或求余没有判断分母长度隐患[SQL]注入风险[应用安全] AndroidMannifest.xml文件中allowB...
Android静态代码扫描效率优化与实践,看完这篇
m0_66264673的博客
02-17 2019
scope.add(PROGUARD_FILE) } else if (name.endsWith(DOT_PROPERTIES)) { scope.add(PROPERTY_FILE) } else if (name.endsWith(DOT_PNG)) { scope.add(BINARY_RESOURCE_FILE) } else if (name == RES_FOLDER || file.parent == RES_FOLDER) { scope.add(ALL_RESOURCE_FILES) s
Android APP crash隐患静态代码扫描工具—godeyes
08-19
Android APP crash隐患静态代码扫描工具—gode
android静态代码扫描,android 静态代码扫描
weixin_29111593的博客
05-26 255
开始做这样一个东西是为了帮助开发减少代码方面的问题,提高代码质量,减小以后上线的风险。前面看了 360 的那个静态代码扫描感觉很强大,但目前没这实力去做成这样,希望早日开源,多多学习。所以就先用开源的也能解决下问题。怎么来的开始做是想直接使用 sonar 自带的 android 静态代码扫描,但后面发现不是很好用,而且 sonar 对于移动端的扫描能力好像也不是很强。后面在逛 github 时发现...
android代码检测工具,大家好 给大家介绍一下 Android静态代码检测工具FireLine
weixin_30974905的博客
05-25 543
FireLine介绍随着时间的推移,项目的代码量越来越大,而紧张的项目开发周期使得开发人员进行单元测试的时间少之又少。我仔细看了下最近几轮测试中测试人员提的缺陷单,大部分的bug其实归根到底都是由空指针、数组越界、内存溢出导致的。在这个时候,一款厉害的静态代码检测工具也许可以帮助我们节省宝贵的时间,所以,360团队专门针对Android开发的一款十分好用的静态代码检测工具FireLine。Filr...
一个很好用的静态代码扫描工具 360FireLine
qq_15264049的博客
09-22 7314
一个很好用的静态代码扫描工具 360FireLine静态代码扫描工具有很多,Android Studio 自带的Lint,FindBugs,前两者生成的测试结果报告都是英文版的,对于英文不好的童鞋们来说简直就是煎熬,甚至失去了去追究bug的耐性;但是360作为国内的技术大厂,搞出来这个很好用的工具,生成的结果报告当然是中文了,这些工具bug定位都很准确,帮你把问题定位到某一行,并给出问题描述,空指针
【新手教程】在Jenkins中使用火线插件做静态代码扫描
oggboy的专栏
11-28 3346
火线(Fireline)的Jenkins官方插件已经上线,目前火线不仅能检查出安卓代码中的安全类问题和内存泄露问题,还兼容了阿里开源的Java开发规约(P3C项目),本文将以教程的形式帮助大家了解如何在Jenkins中使用火线插件做静态代码扫描。 文章[新手教程] Jenkins 下载安装配置教程 Jenkins下载和安装提示:如果您已经在使用Jenkins,请直接跳转至章节 Jenkins安
基于涂鸦模块的单火线单片机调光源代码
04-15
综上所述,基于涂鸦模块的单火线单片机调光源代码实现了智能化的照明控制,它集成了过零检测、调光逻辑和云通讯功能,为家庭和商业照明提供了灵活的解决方案。开发者需要具备扎实的单片机编程、嵌入式系统以及通信...
静态代码扫描(六)——火线针对资源关闭问题的横向对比报告
oggboy的专栏
05-21 799
在上一篇文章中,我们列举了一些资源关闭需要考虑的特殊场景,并且预告了会在这篇放出火线和其他开源产品横向的扫描结果对比报告,包括Sonar、Infer、PMD和Findbugs(由于Lint没有针对资源关闭的规则,未加入对比)。 一. 对比结果我们将资源关闭场景进行了细化和拆分,以保证代码扫描过程中既能检测出已有的问题,同时也不会对正确的写法产生误报。目前共计30个场景。 废话不多说,先上结果:二.
Jenkins中使用火线进行Android静态代码扫描
wpyily的专栏
09-05 2527
背景《火线》是360Qtest测试团队在公司内部经过半年实践后向外推出的一款针对Android代码静态扫描工具。本文主要介绍如何在Jenkins下植入火线扫描并实时查看结果的配置。环境配置 Jenkins,推荐使用最新的版本,本文使用的是2.2版本 Publish HTML Reports插件,版本大于1.0,本文使用的是1.11 创建Job创建一个job,如下图显示: 创建构建任务正常的项目b
Android每周专题】masterkey漏洞扫描APP——Bluebox Security Scanner
11-17
用于扫描MasterKey漏洞,请读者放心下载。
Android 静态分析实例以及工具
09-03
静态分析是探索Android程序内幕的一种最常见的方法,它与动态调剂双剑合璧,帮助分析人员解决分析时遇到的各种“疑难”问题。 静态分析是指在不运行的情况下,采用词法分析、语法分析等各种技术手段对程序文件进行扫描从而生成程序的反汇编代码,然后阅读反汇编代码来掌握 程序功能的一种技术,它有两种方法:一种方法是阅读反汇编生成的Dalvik字节码,可以用IDA Pro分析dex文件,或者使用文本编辑器阅读baksmali反编 译生成的smali文件;另一种方法是阅读反汇编生成的java源码,可以使用dex2jar生成jar文件,然后再使用jd-gui阅读jar文件的代码
Android 代码扫描工具
Star丶Xing
03-05 989
静态代码扫描 360 火线 官网:http://magic.360.cn/zh/index.html 收费:免费 详情:检测代码潜在的安全问题,性能,以及崩溃问题。 规则:http://magic.360.cn/zh/document.html ...
Android静态代码扫描效率优化与实践
03-16 1004
FindBugs是一个静态分析工具,它检查类或者JAR 文件,通过Apache的BCEL库来分析Class,将字节码与一组缺陷模式进行对比以发现问题。FindBugs自身定义了一套缺陷模式,目前的版本3.0.1内置了总计300多种缺陷,详细可参考官方文档。FindBugs作为一个扫描的工具集,可以非常灵活的集成在各种编译工具中。接下来,我们主要分析在Gradle中FindBugs的相关内容。本文在开源项目GitHub中。
Android 静态代码分析
低调的成长
11-15 494
android目前为止,有很多静态代码分析工具, 很多很复杂,而且有很多又难以处理。所以我们能否根据我们的需求来做不同的代码检查呢。 下面介绍一下,不同需求使用不同的方法。 1.删除掉项目中无用的资源。可以使用Lint的 unused resources 选择第三条: 输入Unused resources然后回车 开始搜索,搜索结果如下:
2024年最全Android静态代码扫描效率优化与实践(2),安卓面试项目源码
最新发布
2401_84556783的博客
05-16 386
由于篇幅限制,文档的详解资料太全面,细节内容太多,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!由于整个文档比较全面,内容比较多,篇幅不允许,下面以截图方式展示。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化学习资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!
一款代码扫描工具 火线!!!! fireline
weixin_30446613的博客
05-30 343
1. 在火线官网进行火线相关文件的下载,下载后的文件为fireline.jar 2、运行fireline.jar文件前请先确认系统环境中已安装Java JDK。 java-version 查看 3、在命令行中输入以下命令,点击确定 java -jar D:\test\fireline.jar -s=F:\work_space\seleniumcn-master -r=E:\Redlin...
安卓静态代码检查工具比较
os_2008的博客
08-06 520
1. findbugs   下载地址:http://findbugs.sourceforge.net/downloads.html    特点:侧重基本规范    Malicious code vulnerability:关于恶意破坏代码相关方面的    Dodgy:关于代码不可靠相关方面的    Bad pratice: 关于代码不好的实践相关方面的    Correctne
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值