移动端代码质量管理与安全检测评估

在前面的文章中已经详细介绍过Jenkins、Sonarqube的安装、配置及使用,对于Web端的代码质量管理通常相对容易,Jenkins配套Sonarqube很方便就能搞定。但是对于移动端来说,尤其iOS,集成和使用的复杂性会大幅提高,目前网络上有一些介绍的方法,但实际操作的过程中会存在很多坑。本篇文章,就带大家详细实操移动端代码质量扫描与安全检测评估。

一、代码质量扫描

Android的Sonarqube相对简单,这里不做过多介绍,重点介绍iOS的代码质量扫描。iOS代码质量扫描的核心是如何支持Objective-C和Swift的扫描。SonarQubeCommunity社区版免费开源,一般来说,社区版就符合大多数开发者的需求,针对大多数语言都可以免费扫描。然而对于iOS,社区版不支持Objective-C和Swift的扫描,因此网络上有单身做了相应的开源插件sonar-swift来实现iOS的代码扫描。sonar-swift的github地址为https://github.com/Idean/sonar-swift,根据官方文档使用该插件的前提是要安装SonarQube、SonarQube Scanner、xcpretty、SwiftLint、Tailor、slather、lizard、OCLint。SonarQube和SonarQube Scanner在前面的文章中已经详细介绍过了,其他几个依赖我们一次介绍下。

(1)xcpretty安装

xcpretty是格式化xcodebuild输入的工具,使用ruby开发,安装命令如下:

git clone https://github.com/Backelite/xcpretty.git

cd xcpretty

git checkout fix/duration_of_failed_tests_workaround

gem build xcpretty.gemspec

sudo gem install --both xcpretty-0.2.2.gem

(2)SwiftLint安装

SwiftLint 是一个用于强制检查 Swift 代码风格和规定的一个工具,基本上以 Ray Wenderlich's Swift代码风格指南为基础。

安装命令如下:

brew install swiftlint

(3)Tailor安装

Tailor是一个用于苹果的Swift编程语言编写的源代码的静态分析和lint工具。安装命令如下:

brew install tailor

(4)slather安装

slather为Xcode项目生成测试覆盖率报告并将其连接到CI。安装命令如下:

sudo gem install -n /usr/local/bin slather

(5)lizard安装

Lizard是一个可扩展的圈复杂度分析插件,适用于许多编程语言,包括C/C++(不需要所有头文件或Java导入)。安装命令如下:

sudo pip3 install lizard

(6)OCLint安装

OCLint 是一种静态代码分析工具,用于通过检查 C、C++ 和 Objective-C 代码来提高质量并减少缺陷。

安装命令如下:

brew install oclint

(7)下载并安装完上述依赖后,通过https://github.com/Idean/sonar-swift下载jar文件,并将下载的jar文件放到本地SonarQube安装目录的插件目录下,通常为/usr/local/Cellar/sonarqube/xxx/libexec/extensions/plugins目录下。这时在SonarQube安装目录的bin目录下执行./sonar start,可能会报错导致SonarQube无法启动。原因是如果SonarQube的版本是9以上,官方的sonar-swift的jar为0.4.6版本,导致无法启动,需要在另一个分支上找适配的版本: <u>https://github.com/estebanhiguitad/sonar-swift/releases,</u>下载0.4.7版本即可。

(8)在iOS项目的根目录下创建sonar-project.properties和run-sonar-swift.sh两个文件。

1)其中sonar-project.properties为SonarQube相关的配置文件,可以直接拷贝https://raw.githubusercontent.com/Backelite/sonar-swift/master/sonar-project.properties,然后根据自己的项目做相应的配置修改,其中比较关键的如下:

# 项目使用的语言

sonar.language=swift

# Project description

# 源代码目录

sonar.sources=XXX

# Destination Simulator to run surefire

# As string expected in destination argument of xcodebuild command

# Example = sonar.swift.simulator=platform=iOS Simulator,name=iPhone 6,OS=9.2

指定模拟器,这里会有一个坑,为了配合run-sonar-swift.sh这个脚本,此处是必填项,可能存在找不到相应模拟器的问题,我们在run-sonar-swift.sh这个文件中做相应修改。

sonar.swift.simulator=platform=iOS Simulator,name=iPhone 13,OS=15.0

# 指定工程名或者空间名

sonar.swift.project=XXX.xcodeproj

sonar.swift.workspace=XXX.xcworkspace

# 配置Scheme

sonar.swift.appScheme= XXX

2)下载https://raw.githubusercontent.com/Backelite/sonar-swift/master/sonar-swift-plugin/src/main/shell/run-sonar-swift.shrun-sonar-swift.sh文件,并修改其中的内容将 build-for-testing和destinationSimulator去掉buildCmd=($XCODEBUILD_CMD clean)

echo -n 'Building & extracting Xcode project information'

if [[ "$workspaceFile" != "" ]] ; then

buildCmd+=(-workspace "$workspaceFile")

else

buildCmd+=(-project "$projectFile")

fi

buildCmd+=(-scheme $appScheme)

runCommand xcodebuild.log "${buildCmd[@]}"

这样就不会出现找不到模拟器的问题,完美解决。

(9)执行iOS代码扫描

启动SonarQube,在项目根目录下执行bash run-sonar-swift.sh -nounittests -v命令,根据sonar-project.properties的配置,会自动进行代码扫描,扫描完成后在SonarQube即可看到相应的报告。

二、安全检测评估

移动端安全检测我们采用MobSF,移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用(Android / iOS)自动测试框架,能够对iOS和Android 应用进行静态和动态分析(动态分析目前只支持Android)。MobSF可以有效、快速地对应用APK 和IPA文件及压缩的源代码进行审计分析。MobSF的安装和使用参照官方文档https://mobsf.github.io/docs/#/zh-cn/。安装和使用以MAC为例。

(1) 安装git,或者直接通过github上下载压缩包

sudo apt-get install git

(2) 安装Python

sudo apt-get install python3.8

注意MAC电脑上默认安装有安装Python ,需要修改环境变量以便切换到python3。

(3) 安装 JDK 8+

sudo apt-get install openjdk-8-jdk

(4) 安装以下依赖

sudo apt install python3-dev python3-venv python3-pip build-essential libffi-dev libssl-dev libxml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev wkhtmltopdf

依赖包括xml解析、pdf生成等插件。

(5) 安装MobSF

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git

cd Mobile-Security-Framework-MobSF

./setup.sh

(6) 运行MobSF

./run.sh 127.0.0.1:8000

(7) 运行MobSF

在浏览器中,打开 http://localhost:8000/ 访问 MobSF Web界面。

三、Jenkins集成sonar-swift和MobSF

由于MobSF需要上传APK 或IPA,因此需要在使用MobSF框架前将相应的包打包出来备用。采用Jenkins实现代码扫描和安全检测自动化有两种方式,一种是在Jenkins中新建两个任务,分别进行代码扫描、编译打包和安全检测;另一种方式是同一个任务中设置依赖,先进行代码扫描、编译打包,然后再进行安全检测,我们以第一种方式为例。

(1)代码扫描、编译打包

新建一个自由风格的Jenkins项目,常规的配置代码获取等在之前的文章中有介绍,这里不再赘述。

上图中的两个run-sonar-swift.sh和build.sh均位于iOS项目的根目录,build.sh为命令行编译打包的脚本,可以参考网上的相关文章进行编写。在构建步骤执行这两个步骤后就能将sonar-swift扫描的结果呈现到SonarQube上,并且打包出来ipa。

(2)安全检测

1)在Jenkins中新建一个Pipeline项目,在构建触发器选择依赖上一个编译打包的工程。


2)MobSF启动后访问http://127.0.0.1:8000/api_docs,获取REST API Key。

3)在Pipeline项目配置中添加脚本

脚本内容如下:

pipeline {

agent any

stages{

stage('Analysis') {

steps {

script {

echo 'start Upload'

//上传应用包

def AUTH_KEY = 'MobSF的REST API Key'

upload_cmd =

"curl -F

'file=@ipa文件所在的具体路径'

http://localhost:8000/api/v1/upload -H 'Authorization:${AUTH_KEY}'"

upload_result = sh label: 'Upload Binary', returnStdout: true, script: upload_cmd

}

}

}

}

}

4)执行Jenkins任务,构建完成后ipa包直接上传到MobSF平台作静态分析。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,874评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,102评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,676评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,911评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,937评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,935评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,860评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,660评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,113评论 1 308
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,363评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,506评论 1 346
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,238评论 5 341
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,861评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,486评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,674评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,513评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,426评论 2 352

推荐阅读更多精彩内容