Какие параметры безопасности следует учитывать перед интеграцией со сторонним SDK

Question

Работа в направлении безопасности имеет решающее значение для любого проекта.В настоящее время мы ожидаем интеграции стороннего SDK в мое приложение для iOS.Однако перед этим я хотел бы тщательно проанализировать и тщательно изучить SDK.

Некоторые из контрольных точек -

• Анализ картона
• Использование частных API запрещено Appleнапример, CTTelephonyNetworkInfo
• Шифрование базы данных (если оно создано SDK)

То, что я ищу в качестве ответа, - это способ, которым я могу достичь вышеупомянутогоплюс любые другие вещи, которые я должен искать.

Я знаю, что вопрос может звучать не по теме или скорее как обсуждение, но такой контрольный список может оказаться очень важным для всех разработчиков.

Answer 1

Так что я смог проверить простой контрольный список для этого.Тем не менее, я считаю, что этот ответ устареет довольно рано.Тем не менее, я поделюсь тем, что должен.

• Анализ картона - Это проверка того, копирует ли SDK что-либо на общедоступном картоне.Поскольку это общее для всех приложений, это может привести к уязвимости.
• Постоянные данные - Добавьте SDK в приложение и проверьте, создает ли оно какое-либо постоянное хранилище, такое как файл .sqlite.Проверьте содержимое этого файла, чтобы понять, что хранится, и если эта информация каким-либо образом чувствительна.
• UserPreferences - NSUserPreferences можно широко использовать в любом SDK, это может привести кданные хранятся в простом текстовом формате.
• Использование частного API - SDK может использовать частные API iOS с помощью таких методов, как NSClassFromString и NSSelectorFromString.Использование таких API запрещено Apple и может привести к отклонению при рассмотрении.

Можно внимательно следить за следующим post .Это помогло бы понять, как сделать дамп класса.Проверьте на наличие жестко закодированных строк.Специально для меня оказалось полезным использование Hopper Disassembler .