📑

1分で出来るモバイルアプリのセキュリティ向上

sobaya2022/12/05に公開

結論

https://github.com/MobSF/mobsfscan を入れる

やり方

公式READMEそのままにファイル追加です。
https://github.com/sobaya-0141/Sample202209/blob/4af2d81c5c2675f0f86d9f884eab245001ef32bd/.github/workflows/mobsfscan_sarif.yml

何が起こるの?

PR時

このようにalertがあるよって教えてくれます。

詳細を見るとこんな感じです。

もっと詳細を見てみます。

※検証のために書いたpasswordがチェックされました。

アプリ全体のチェック

このymlをmasterにマージするとこれまでのアプリ全体もチェックしてくれます。
赤枠で囲ったところを遷移していくと・・・


このザマでした・・・

感想

導入は(GithubActionsを使っていれば)一瞬で出来るので、めっちゃ良い!!となりました。
が、チェック内容についてはしっかり設定をして何をやるか/やらないかを判断していく必要があると思いました。
公式にignore-rulesの設定方法なども書かれているので、プロジェクト毎に適切なルールを設定しないと無駄にコストがかかってしまう気がします。

株式会社ゆめみ

みんな知ってるあのサービスも、ゆめみが一緒に作ってます。スマホアプリ/Webサービスの企画・UX/UI設計、開発運用の内製化支援。Swift,Kotlin,Rust,Go,Flutter,ML,React,AWS等エンジニア・クリエイターの会社です。Twitterで情報配信中

Discussion

ログインするとコメントできます