移动端代码质量管理与安全检测评估
在前面的文章中已经详细介绍过Jenkins、Sonarqube的安装、配置及使用,对于Web端的代码质量管理通常相对容易,Jenkins配套Sonarqube很方便就能搞定。但是对于移动端来说,尤其iOS,集成和使用的复杂性会大幅提高,目前网络上有一些介绍的方法,但实际操作的过程中会存在很多坑。本篇文章,就带大家详细实操移动端代码质量扫描与安全检测评估。
一、代码质量扫描
Android的Sonarqube相对简单,这里不做过多介绍,重点介绍iOS的代码质量扫描。iOS代码质量扫描的核心是如何支持Objective-C和Swift的扫描。SonarQubeCommunity社区版免费开源,一般来说,社区版就符合大多数开发者的需求,针对大多数语言都可以免费扫描。然而对于iOS,社区版不支持Objective-C和Swift的扫描,因此网络上有单身做了相应的开源插件sonar-swift来实现iOS的代码扫描。sonar-swift的github地址为https://github.com/Idean/sonar-swift,根据官方文档使用该插件的前提是要安装SonarQube、SonarQube Scanner、xcpretty、SwiftLint、Tailor、slather、lizard、OCLint。SonarQube和SonarQube Scanner在前面的文章中已经详细介绍过了,其他几个依赖我们一次介绍下。
(1)xcpretty安装
xcpretty是格式化xcodebuild输入的工具,使用ruby开发,安装命令如下:
git clone https://github.com/Backelite/xcpretty.git cd xcpretty git checkout fix/duration_of_failed_tests_workaround gem build xcpretty.gemspec sudo gem install --both xcpretty-0.2.2.gem
(2)SwiftLint安装
SwiftLint 是一个用于强制检查 Swift 代码风格和规定的一个工具,基本上以 Ray Wenderlich"s Swift代码风格指南为基础。
安装命令如下:
brew install swiftlint
(3)Tailor安装
Tailor是一个用于苹果的Swift编程语言编写的源代码的静态分析和lint工具。安装命令如下:
brew install tailor
(4)slather安装
slather为Xcode项目生成测试覆盖率报告并将其连接到CI。安装命令如下:
sudo gem install -n /usr/local/bin slather
(5)lizard安装
Lizard是一个可扩展的圈复杂度分析插件,适用于许多编程语言,包括C/C++(不需要所有头文件或Java导入)。安装命令如下:
sudo pip3 install lizard
(6)OCLint安装
OCLint 是一种静态代码分析工具,用于通过检查 C、C++ 和 Objective-C 代码来提高质量并减少缺陷。
安装命令如下:
brew install oclint
(7)下载并安装完上述依赖后,通过https://github.com/Idean/sonar-swift下载jar文件,并将下载的jar文件放到本地SonarQube安装目录的插件目录下,通常为/usr/local/Cellar/sonarqube/xxx/libexec/extensions/plugins目录下。这时在SonarQube安装目录的bin目录下执行./sonar start,可能会报错导致SonarQube无法启动。原因是如果SonarQube的版本是9以上,官方的sonar-swift的jar为0.4.6版本,导致无法启动,需要在另一个分支上找适配的版本: https://github.com/estebanhiguitad/sonar-swift/releases,下载0.4.7版本即可。
(8)在iOS项目的根目录下创建sonar-project.properties和run-sonar-swift.sh两个文件。
1)其中sonar-project.properties为SonarQube相关的配置文件,可以直接拷贝https://raw.githubusercontent.com/Backelite/sonar-swift/master/sonar-project.properties,然后根据自己的项目做相应的配置修改,其中比较关键的如下:
# 项目使用的语言 sonar.language=swift # Project description # 源代码目录 sonar.sources=XXX # Destination Simulator to run surefire # As string expected in destination argument of xcodebuild command # Example = sonar.swift.simulator=platform=iOS Simulator,name=iPhone 6,OS=9.2 指定模拟器,这里会有一个坑,为了配合run-sonar-swift.sh这个脚本,此处是必填项,可能存在找不到相应模拟器的问题,我们在run-sonar-swift.sh这个文件中做相应修改。 sonar.swift.simulator=platform=iOS Simulator,name=iPhone 13,OS=15.0 # 指定工程名或者空间名 sonar.swift.project=XXX.xcodeproj sonar.swift.workspace=XXX.xcworkspace # 配置Scheme sonar.swift.appScheme= XXX
2)下载https://raw.githubusercontent.com/Backelite/sonar-swift/master/sonar-swift-plugin/src/main/shell/run-sonar-swift.sh的run-sonar-swift.sh文件,并修改其中的内容将 build-for-testing和destinationSimulator去掉buildCmd=($XCODEBUILD_CMD clean)
echo -n "Building & extracting Xcode project information" if [[ "$workspaceFile" != "" ]] ; then buildCmd+=(-workspace "$workspaceFile") else buildCmd+=(-project "$projectFile") fi buildCmd+=(-scheme $appScheme) runCommand xcodebuild.log "${buildCmd[@]}"
这样就不会出现找不到模拟器的问题,完美解决。
(9)执行iOS代码扫描
启动SonarQube,在项目根目录下执行bash run-sonar-swift.sh -nounittests -v命令,根据sonar-project.properties的配置,会自动进行代码扫描,扫描完成后在SonarQube即可看到相应的报告。
二、安全检测评估
移动端安全检测我们采用MobSF,移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用(Android / iOS)自动测试框架,能够对iOS和Android 应用进行静态和动态分析(动态分析目前只支持Android)。MobSF可以有效、快速地对应用APK 和IPA文件及压缩的源代码进行审计分析。MobSF的安装和使用参照官方文档https://mobsf.github.io/docs/#/zh-cn/。安装和使用以MAC为例。
(1) 安装git,或者直接通过github上下载压缩包
sudo apt-get install git
(2) 安装Python
sudo apt-get install python3.8
注意MAC电脑上默认安装有安装Python ,需要修改环境变量以便切换到python3。
(3) 安装 JDK 8+
sudo apt-get install openjdk-8-jdk
(4) 安装以下依赖
sudo apt install python3-dev python3-venv python3-pip build-essential libffi-dev libssl-dev libxml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev wkhtmltopdf
依赖包括xml解析、pdf生成等插件。
(5) 安装MobSF
git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git cd Mobile-Security-Framework-MobSF ./setup.sh
(6) 运行MobSF
./run.sh 127.0.0.1:8000
(7) 运行MobSF
在浏览器中,打开 http://localhost:8000/ 访问 MobSF Web界面。
三、Jenkins集成sonar-swift和MobSF
由于MobSF需要上传APK 或IPA,因此需要在使用MobSF框架前将相应的包打包出来备用。采用Jenkins实现代码扫描和安全检测自动化有两种方式,一种是在Jenkins中新建两个任务,分别进行代码扫描、编译打包和安全检测;另一种方式是同一个任务中设置依赖,先进行代码扫描、编译打包,然后再进行安全检测,我们以第一种方式为例。
(1)代码扫描、编译打包
新建一个自由风格的Jenkins项目,常规的配置代码获取等在之前的文章中有介绍,这里不再赘述。
上图中的两个run-sonar-swift.sh和build.sh均位于iOS项目的根目录,build.sh为命令行编译打包的脚本,可以参考网上的相关文章进行编写。在构建步骤执行这两个步骤后就能将sonar-swift扫描的结果呈现到SonarQube上,并且打包出来ipa。
(2)安全检测
1)在Jenkins中新建一个Pipeline项目,在构建触发器选择依赖上一个编译打包的工程。
2)MobSF启动后访问http://127.0.0.1:8000/api_docs,获取REST API Key。
3)在Pipeline项目配置中添加脚本
脚本内容如下:
pipeline { agent any stages{ stage("Analysis") { steps { script { echo "start Upload" //上传应用包 def AUTH_KEY = "MobSF的REST API Key" upload_cmd = "curl -F "file=@ipa文件所在的具体路径" http://localhost:8000/api/v1/upload -H "Authorization:${AUTH_KEY}"" upload_result = sh label: "Upload Binary", returnStdout: true, script: upload_cmd } } } } }
4)执行Jenkins任务,构建完成后ipa包直接上传到MobSF平台作静态分析。
聊一款话题性极高的游戏本要问3月什么游戏本最火?答案肯定是联想拯救者Y9000P,这款游戏本占据了我们B站的留言区,夸张到后来我们发其他笔记本的视频也无法转移注意力留言区照样在讨论Y9000P。前段时间我
广东鼓励幼儿园开设托班招收2至3岁幼儿来源中国教育新闻网中国教育报中国教育新闻网讯(通讯员黄伟张紫欣记者刘盾)日前,广东省教育厅印发广东省幼儿园办园指南,对幼儿园办园规模园舍建设教职工配备等制定详细标准,进一步规范各类
这个周末,在苏州河书房听故事!猜猜我有多爱你苏州河书房故事屋爱在身边青年志愿者团队兔宝宝和兔妈妈一起比赛看谁的爱更多,小兔子希望自己的爱能胜过兔妈妈的爱,所以它想尽办法用各种身体动作,看得见的景物来描述自己的爱
婴幼儿被猥亵,令人发指的曝光细节当今社会,保姆这个职业已被越来越多的接受。专业的保姆能带给孩子细致的呵护,敬业的保姆,能解放忙碌的职场男女主人们,缓解他们在时间上的缺乏与紧张。然而,因为市场需求的增长,以及保姆工
烟台高新区海博社区开展儿童文明素养提升主题活动近日,烟台高新区马山街道海博社区在海天雅筑幼儿园开展童样文明童样精彩儿童文明素养提升主题活动,进一步加强未成年人思想道德教育,培养少年儿童形成好思想好品行好习惯。活动在文明礼仪小标
什么样的结局才能配上这一路的颠沛流离2022年底,成功减肥的喜悦并没有很长时间,我开始食欲不振,不停的吐,什么也不想吃,一度很害怕,觉得自己得了厌食症。吃了很多药,胃疼的,消化的,止疼的,直到在一个月的时间里看着体重
安全生产和应急避险科普春来放风筝安全一线牵东营日报社爱东营讯儿童散学归来早,忙趁东风放纸鸢。春天的东营,阳光明媚草长莺飞,趁着宜人的春风市民们走出家门,欣赏春日的美景,也有不少市民纷纷来到户外放起了风筝,五颜六色的风筝在高
4岁女孩近视超300度!这个神器成视力杀器很多家长都有过这样的经历一到饭点,就要追着孩子满屋跑担心孩子吃得少影响生长发育,家长便绞尽脑汁各种哄骗只有拿出手机平板,放起动画片或小游戏,孩子才能乖乖把饭吃完但医生提醒长此以往,
抵挡不了的生理需求,也要严格调成自控模式!我在给两个多月的女儿喂奶,然后,她开始像拉粑粑一样哗哗的拉了几下。本来我自己肚子疼就快憋不住了,但是我要给她先换尿不湿穿好衣服安顿好她啊!我就一直忍着结果给她换的时候,我本以为尿不
WWDC23日期官宣北京时间6月6日凌晨举办特别活动CNMO新闻北京时间3月30日凌晨,苹果正式宣布WWDC23日期。今年的WWDC开发者大会定于北京时间6月6日至10日召开,其中开发者大会特别活动将于6月6日凌晨召开,届时iOSi
第十一届中式台球国际大师赛全球总决赛开幕3月28日,演员在开幕式上表演节目。新华社记者杨世尧摄当日,第十一届中式台球国际大师赛全球总决赛在河北省秦皇岛市奥体中心体育馆开幕。本次比赛为期16天,共有来自40个国家和地区的1