Android和iOS静态代码扫描工具

最新推荐文章于 2024-10-10 07:18:00 发布
原创 最新推荐文章于 2024-10-10 07:18:00 发布 · 856 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#app安全

本文介绍了Android和iOS平台上的多种静态代码分析工具,包括AndroidLint、FindBugs、360火线、godeyes等,并对比了它们的功能特点、支持的语言、IDE集成情况等关键信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Android

名称

来源

功能特点

检查SQL注入

检查NullPointException

支持IDE情况

Android Lint

Android SDK

针对Android,检查范围广

Eclipse、Android Studio

FindBugs

国外

针对Java程序,失去对Android特性的检查

Eclipse、Android Studio

QA Plug

国外

集合了FindBugs、CheckStyle和PMD的组件插件,失去对Android特性的检查

Eclipse、Android Studio

360火线

奇虎360

针对Android,依赖规则检查,可以看作是AndroidLint的扩充

Android Studio

godeyes

百度

针对Android/iOS,依赖规则检查,偏向于检查会引起Crash的内容

Eclipse 、Android stuido

infer

facebook

针对Android/iOS的检查工具

未测试

未测试

全平台

kiuwan

kiuwan

针对多种语言,有免费版本, 详见参考资料连接

iOS

名称

来源

功能特点

检查SQL注入

检查NullPointException

支持IDE情况

Clang Static Analyzer

Apple

XCode自带工具

未测试

XCode

OCLint

oclint.org

建立在Clang上的工具

未测试

未测试

XCode

infer

Facebook

针对

Android/iOS的检查工具

未测试

未测试

全平台

godeyes

百度

针对iOS,依赖规则检查,偏向于检查会引起Crash的内容

Mac

静态代码分析知识库

https://www.owasp.org/index.php/Static_Code_Analysis
https://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis

FindBugs

http://findbugs.sourceforge.net/
https://androidbycode.wordpress.com/2015/02/13/static-code-analysis-automation-using-findbugs-android-studio/

pmd

https://pmd.github.io/

checkstyle

https://github.com/checkstyle/checkstyle

360火线

http://magic.360.cn/index.html

OCLint

http://oclint.org/
http://docs.oclint.org/en/stable/

使用OClint进行iOS项目的静态代码扫描

http://www.cnblogs.com/itech/p/5238065.html

iOS静态代码扫描

https://github.com/facebook/infer
https://gitcode.net/mirrors/facebook/infer
http://fbinfer.com
https://blog.youkuaiyun.com/haorenmin2008/article/details/46544921?spm=1001.2014.3001.5501

Clang Static Analyzer

https://developer.apple.com/legacy/library/featuredarticles/StaticAnalysis/FeaturedArticle.html

几种静态扫描工具的使用与对比

https://www.jianshu.com/p/b81a9f5bcf34

推荐阅读

星球简介

福利来啦-优惠券活动

Android和iOS静态代码扫描工具

Android安全测试工具大全

欢迎加入知识星球,优惠券名额有限、赶紧行动吧!

图片

sx:快速强大易于使用的现代化网络扫描
m0_59598029的博客
08-02 687
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描扫描UDP端口并获取全部ICMP响应,以检测开放端口防火墙规则;
静态代码扫描解决方案之Facebook开源静态代码分析工具Infer学习
03-03 1458
简介 Infer是Facebook公司的一个开源的静态分析工具。Infer 可以分析 Objective-C, Java 或者 C 代码,用于发现潜在的问题。目前Facebook使用此工具分析Facebook的App,包括AndroidiOS、Facebook MessengerInstagram等。Infer更倾向于发现代码中的空指针异常、资源泄露以及内存泄漏的问题。 官网地址如下:https://infer.liaohuqiu.net/ Infer安装 安装准备(for mac) 官方手册
Android APP crash隐患静态代码扫描工具—godeyes
08-19
Android APP crash隐患静态代码扫描工具—gode
Android 代码扫描工具
Star丶Xing
03-05 1044
静态代码扫描 360 火线 官网:http://magic.360.cn/zh/index.html 收费:免费 详情:检测代码潜在的安全问题,性能,以及崩溃问题。 规则:http://magic.360.cn/zh/document.html ...
Android / iOS 静态代码扫描工具调研
王兴的博客
07-04 492
Android / iOS 静态代码扫描工具调研 已有( 20)人阅读 已有 0人评论  加入收藏 作者: MarcusMa 分享 Android 篇 名称 来源 功能特点 检查SQL 注入 检查 NullPointException 支持IDE情况 Android Lint Android SDK 针对Andro
iOS 静态代码扫描
06-18 3374
iOS 静态代码扫描(facebook 出品 infer) 前阵子 facebook开源了其静态代码扫描工具,该工具通吃 JAVA\Android\iOS,不仅可以检查 Android Java 代码中的 NullPointException 资源泄露,也可以发现 iOS C 代码中的内存泄露问题。据介绍,它能像人类一样查看代码,并作出一些推测。但它的优势是,数分钟就能看完上千行
androidjava源码-mobsfscan:mobsfscan是一个静态分析工具,可以在您的AndroidiOS代码中找到不安全代码
05-20
mobsfscan是一个静态分析工具,可以在您的AndroidiOS代码中找到不安全代码模式。 支持Java,Kotlin,SwiftObjective C代码。 mobsfscan使用MobSF静态分析规则,并由semgrep简单的模式匹配器提供支持。 ...
mobsfscan:AndroidiOS代码静态分析工具
资源摘要信息:"mobsfscan是一个开源的静态分析工具,主要用于在AndroidiOS的源代码中查找潜在的安全漏洞。它支持多种编程语言,包括Java、Kotlin、SwiftObjective-C,并且基于MobSF静态分析规则,结合semgrep...
一个Java,Object-C的静态检测工具,可帮助AndroidIOS开发者检测一些潜在的bug及资源泄漏问题.zip
10-11
一个Java,Object-C的静态检测工具,可帮助AndroidIOS开发者检测一些潜在的bug及资源泄漏问题.zip,A static analyzer for Java, C, C++, and Objective-C
静态代码扫描工具-infer】CentOS下infer环境搭建及Maven项目分析初尝试
liuhui_1211的博客
02-03 1116
文章目录一、infer简介1、引言2、Infer捕捉的bug类型:3、infer基本原理二、linux下的安装三、Maven工程的扫描 一、infer简介 1、引言 Infer 是Facebook 开源一款静态分析工具。 Infer 可以分析 Objective-C, Java 或者 C 代码,重点作用于分析APPAndroid/iOS)项目,报告潜在的问题。 Infer 已经成为 Facebook 开发流程的一个环节,包括 Facebook Android iOS 主客户端,Facebook Mes
Android_Code_Arbiter:针对Android Studio的二进制扫描工具-android
03-24
Android代码仲裁器 介绍 根据查找安全漏洞: ://find-sec-bugs.github.io/改写,删除其中跟Android突破无关的漏洞,保留与Android相关的,同时增加其他一些检测项,从而形成针对Android的源码审计工具。同时将检测结果设置成中文,方便开发者查看问题原因及修改建议。 检测项 域名(Hostname)验证不严格 Webview证书错误未处理 命令注入/动态加载 TrustManager未进行证书校验 MD2,MD4,MD5弱信息摘要算法使用 SHA-1弱信息摘要算法 错误字符转换 DES / DESede使用 RSA Nopadding RSA密钥长度问题 欧洲央行模式 加密无预先验证 CBC / PKCS5Padding模式 外部文件存储 发送广播消息未设置接收权限 发送粘性广播 动态注册广播接收器未设置权限 创建模式使用不当 Webview设置
iOS APP crash隐患静态代码扫描工具—godeyes
08-19
工具详情请访问 http://godeyes.duapp.com/
ios-600行代码搞定 二维码扫描.zip
07-11
600行代码搞定 二维码扫描,简单使用,低耦合,github:https://github.com/STShenZhaoliang/STQRCodeController
SonarQube iOS 代码扫描插件使用教程
最新发布
gitblog_00311的博客
10-10 888
SonarQube iOS 代码扫描插件使用教程 1. 项目介绍 SonarQube iOS 代码扫描插件是一个用于 SonarQube 平台的插件,专门用于扫描分析 Objective-C Swift 语言的代码。该插件支持导入多种静态代码分析工具的结果,如 Infer、SwiftLint、OCLint、Lizard Fauxpas,并将这些结果展示在 SonarQube 平台上。通过...
Android静态代码扫描效率优化与实践
美团技术团队
11-07 6925
总第366篇2019年 第44篇背景与问题DevOps实践中,我们在CI(Continuous Integration)持续集成过程主要包含了代码提交、静态检测、单元测试、编译打包环节。其中静态代码检测可以在编码规范,代码缺陷,性能等问题上提前预知,从而保证项目的交付质量。Android项目常用的静态扫描工具包括CheckStyle、Lint、FindBugs等,为降低接入成本,美团内部孵化了静态...
利用代码扫描工具提升Android代码健壮性
caoxiao90的博客
05-30 2573
Android代码健壮性
Lint——Android SDK提供的静态代码扫描工具
amen10018的博客
11-20 261
LintFindBugs一样,都是静态代码扫描工具,区别在于它是Android SDK提供的,会检查Android项目源文件的正确性、安全性、性能、可用性等潜在的bug并优化改进。 下图简单地描述了Lint工具的原理。 在Eclipse中右键工程,在出现的菜单中选择Android Tools中的Run Lint,即可执行Lint测试。结果如图所示。 Lint也可以通过命令...
Jenkins结合FireLine实现Android代码静态扫描
做GIS梦的人
01-03 1014
FireLine(火线)是360研发的进行Android代码安全静态扫描工具。对于小公司来说,可能对Android代码的质量安全性没法进行很好的把控,用这个插件可以很好的解决这个问题。 使用方法 如果是你个人的话,可以在Android Studio里直接安装这个插件,教程。但是在Android studio本地执行速度太慢,本人测试一个小项目代码需要检测将近1个小时。 在Jenkins...
SonarQube扫码Android代码
https://github.com/Mac-Zhu
09-02 845
SonarQube扫码Android代码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

哆啦安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值