致力于安全性对于任何项目都至关重要。目前正在考虑将第三方SDK集成到我的iOS应用程序中。但是,在此之前,我想彻底分析和仔细检查SDK。
部分检查站是 -
- 粘贴板分析
- 使用被苹果禁止的私有API,例如CT网络信息
- 数据库加密(如果由 SDK 创建(
我在这里寻找的答案是我实现上述目标的方式以及我应该寻找的任何其他东西。
我知道这个问题可能听起来偏离了主题,或者更像是一个讨论,但像这样的清单对所有开发人员来说都非常重要。
所以我能够为此检查一个简单的清单。但是,我相信这个答案会很快过时。我仍然会分享我应该分享的。
- 粘贴板分析- 这是为了检查 SDK 是否复制了任何内容 公共粘贴板。由于这是在所有应用程序之间共享的,因此它可以 导致脆弱性。
- 持久数据- 将 SDK 添加到应用并检查它是否创建任何 持久存储,如 .sqlite 文件。检查此文件的内容 了解正在存储的内容以及此信息是否 以任何方式敏感。
- 用户首选项- NSUserPreferences可以广泛用于任何 SDK,这可能会导致数据存储在简单的文本中 格式。
- 私有API 使用 - SDK 可以在 NSClassFromString 和 NSSelectorFromString 等方法的帮助下使用私有 iOS API。苹果禁止使用此类API,并可能导致审核被拒绝。
人们可以密切关注以下帖子。这将有助于了解如何进行类转储。检查硬编码字符串。特别是使用料斗拆卸器对我很有帮助。