我正在寻找软件/方法来对我在 Flutter 中开发的应用程序执行安全扫描(查找安全漏洞)。我很难找到支持 Dart 的版本。有人做过安全扫描并对使用什么有什么建议吗?谢谢。
尽管有一些讨论,但目前还没有很好的安全扫描支持。 Google 的第一步是开始在其现有的开源漏洞 (OSV) 数据库中跟踪 Dart 漏洞,您可以在此处观看或参与:https://github.com/google/osv/issues/62
我理解这可能是一个死尸帖子,但对于遇到此问题的其他人,您可以查看 Black Duck (https://www.blackducksoftware.com/) 的许可风险和 Checkmarx CxSAST (https://checkmarx) .com/)以解决安全问题。两者都支持 Dart/Flutter 代码(我们已集成到 ADO 管道中)。
这些将针对组织而不是个人。
对于私人项目,我想您可以研究一下 与 SonarQube 的集成?
我建议使用名为 mobsf 的开源框架。它非常适合扫描移动应用程序。从那时起我就一直在使用它,我可以立即开始修补我的安全漏洞。
Mobile-Security-Framework-MobSF我开发了一个用于Dart代码静态分析的小包。如果您有兴趣,请随意尝试一下。它检查代码是否不包含硬编码凭据。