針對移動(dòng)應(yīng)用安全掃描的安全漏洞，如何通過報(bào)告提供的信息進(jìn)行分析、定位、修復(fù)？

1. 報(bào)告提供了問題代碼信息，包括文件名及其路徑，可以通過該信息快速定位到問題文件。
2. 說明：針對部分檢測問題，如簽名安全檢測告警，無具體問題文件顯示。
3. 漏洞特征信息，主要為安全漏洞所涉及的函數(shù)代碼。
4. 安全漏洞修復(fù)建議，結(jié)合上述代碼信息確定具體告警位置，分析漏洞告警是否確認(rèn)為安全漏洞。

針對移動(dòng)應(yīng)用安全測試結(jié)果中的隱私合規(guī)問題告警，可以通過一下幾個(gè)信息進(jìn)行分析定位，并整改處理。

1. 截圖：在動(dòng)態(tài)運(yùn)行APP過程中，對部分涉及界面的合規(guī)問題進(jìn)行截圖舉證，在最終掃描結(jié)果中提供截圖展示，用戶可根據(jù)截圖進(jìn)行告警分析。
2. 調(diào)用棧：涉及收集個(gè)人數(shù)據(jù)類告警，包括第三方SDK收集，掃描結(jié)果中會(huì)提供代碼調(diào)用棧信息，幫助應(yīng)用開發(fā)人員快速查找問題點(diǎn)。
3. 隱私申明片段：對于應(yīng)用實(shí)際行為與隱私聲明不一致的合規(guī)問題，掃描結(jié)果中會(huì)提取相應(yīng)的隱私審批片段，能快速從應(yīng)用隱私申明、第三方SDK隱私申明中定位問題點(diǎn)。
4. 相應(yīng)政策規(guī)范：該項(xiàng)告警違反的哪些規(guī)范條目，在掃描報(bào)告中詳細(xì)列舉，用戶可以針對性的進(jìn)行分析整改。

如下圖顯示，移動(dòng)應(yīng)用安全測試任務(wù)檢測結(jié)果中安全漏洞檢測有告警，隱私合規(guī)問題數(shù)為0，任務(wù)狀態(tài)為“失敗”。

每個(gè)任務(wù)會(huì)進(jìn)行多個(gè)檢測項(xiàng)的檢查，如基礎(chǔ)安全檢測、違規(guī)收集信息檢測、隱私聲明一致性檢測等，整個(gè)檢測過程分為應(yīng)用解析、靜態(tài)分析、動(dòng)態(tài)運(yùn)行三個(gè)階段，因?yàn)閼?yīng)用自身原因，如閃退、無法解析、無法安裝等原因?qū)е缕渲心硞€(gè)階段出現(xiàn)異常的時(shí)候任務(wù)會(huì)中止。這時(shí)候已經(jīng)有了一部分檢測結(jié)果，但為了保證整體任務(wù)檢測完整性，我們會(huì)判定當(dāng)前任務(wù)失敗，且報(bào)告不可查看，掃描失敗的任務(wù)不扣費(fèi)。

根據(jù)樣本統(tǒng)計(jì)，單任務(wù)平均掃描耗時(shí)約1小時(shí)，掃描時(shí)長跟以下幾個(gè)因素有關(guān)：

-文件大小，文件越大掃描越耗時(shí)。

-代碼量，代碼量越多掃描越耗時(shí)。

-代碼復(fù)雜程度，因?yàn)闃I(yè)務(wù)、代碼實(shí)現(xiàn)的原因?qū)е麓a實(shí)現(xiàn)相對較復(fù)雜，調(diào)用鏈長，這些都會(huì)導(dǎo)致掃描耗時(shí)增加。

故部分應(yīng)用掃描時(shí)長會(huì)高于平均耗時(shí)，如超過12小時(shí)仍未結(jié)束，可能是因?yàn)槟承┊惓Ｔ驅(qū)е氯蝿?wù)無法正常結(jié)束，我們會(huì)判定該類任務(wù)未超時(shí)，終止任務(wù)執(zhí)行、設(shè)置任務(wù)狀態(tài)為“超時(shí)”。

-加固加殼的應(yīng)用，例如通過愛加密加固。

-使用不支持無障礙服務(wù)UI框架開發(fā)的應(yīng)用，例如游戲。

-SDK版本低于18。

應(yīng)用在“分析中”狀態(tài)，如果當(dāng)前處于隱私合規(guī)檢測階段，可單擊狀態(tài)列的“分析中”鏈接打開詳情窗口，應(yīng)用動(dòng)態(tài)運(yùn)行界面會(huì)投屏至網(wǎng)頁端。

當(dāng)應(yīng)用出現(xiàn)登錄界面時(shí)，界面自動(dòng)停止運(yùn)行，此時(shí)用戶可通過本地鍵盤輸入登錄憑證，完成登錄操作。

手機(jī)檢測界面僅在隱私合規(guī)檢測階段可查看，其他檢測階段不可見，通常在任務(wù)啟動(dòng)5分鐘左右會(huì)進(jìn)行隱私合規(guī)檢測操作，此時(shí)才可以查看。