RiskFinder 6.0(2016年7月版)リリース
本日、RiskFinder 6.0(2016年7月版)をリリースしました。
今回は新たに追加された機能や情報について簡単にお知らせしたいと思います。
2016年7月版での主な変更点について
今回の更新では、第三者モジュールの問題に対するリスク検出機能を中心に強化しています。最近のアプリ開発は、第三者が公開しているライブラリを利用して新たに開発するコード量を減らし、開発期間を短縮するのが主流になっています。
しかしライブラリに脆弱性があった場合、これを利用するアプリも同じ脆弱性を持つことになってしまいます。開発者はライブラリの内部実装を知る術がありませんので、アプリのリリース前にライブラリの脆弱性に気づくことはほぼ不可能です。
このような状況が脆弱性のあるアプリがリリースされてしまう一因となっています。
実際に、アプリ開発用のフレームワークが提供するライブラリに脆弱性が発見された例が報告されています
報告1:Apache Cordova Android におけるブリッジハイジャック攻撃を実行される脆弱性(JVNDB-2015-006002 )
報告2: Apache Cordova におけるアクセス制限不備の脆弱性( JVNDB-2015-000187 )
フレームワークが提供するモジュールに脆弱性がある場合、そのフレームワークを利用して開発されたすべてのアプリに脆弱性が埋め込まれることになります。
これは非常に危険な状況といえます。
RiskFinderはアプリ内のライブラリの問題も検出しますので、このような問題への強力な対策となります。
今回の更新では、ハイブリッドアプリ開発時に利用されるライブラリの脆弱性、およびURLConnetionやOkHttpといった通信に関連するクラス、ライブラリの脆弱性などを中心に、多くのアプリに影響があると思われるリスクを新たに検出対象として追加しています。
また、第三者ライブラリ情報辞書にも新たに200件以上の情報を追加しています。
ライブラリの問題を検出
その他の機能強化点について
2016年7月版では、これ以外にも様々な変更が行われています。ユーザー様からの要望を取り込んだ改善や、機能強化を行っています。
アプリ解析中画面
サマリ情報(Excel出力)
まとめ
ちょっとした不注意やケアレスミスがアプリの脆弱性につながります。また利用しているライブラリの脆弱性を開発者が発見するのは非常に難しいことです。ソースコード解析だけではアプリの問題を検出しきれません。RiskFinderを利用すればこれらの問題を手軽に検出することができます。
検出された問題点のリストにある指示に従ってアプリを修正して行けば、安心して利用できるアプリをリリースできるようになります。
RiskFinderが皆さんのアプリ開発のお役に立てれば幸いです。