MASTG-TECH-0025: Análise Estática Automatizada

Você deve utilizar ferramentas para uma análise estática eficiente. Elas permitem que o testador se concentre na lógica de negócio mais complexa. Uma infinidade de analisadores estáticos de código está disponível, variando desde scanners de código aberto até scanners completos prontos para o ambiente empresarial. A melhor ferramenta para o trabalho depende do orçamento, dos requisitos do cliente e das preferências do testador.

Alguns analisadores estáticos dependem da disponibilidade do código-fonte; outros aceitam o APK compilado como entrada. Lembre-se de que os analisadores estáticos podem não conseguir encontrar todos os problemas sozinhos, embora possam nos ajudar a focar em problemas potenciais. Revise cada achado cuidadosamente e tente entender o que o aplicativo está fazendo para aumentar suas chances de encontrar vulnerabilidades.

Configure o analisador estático adequadamente para reduzir a probabilidade de falsos positivos e talvez selecione apenas várias categorias de vulnerabilidades na verificação. Caso contrário, os resultados gerados pelos analisadores estáticos podem ser esmagadores, e seus esforços podem ser contraproducentes se você tiver que investigar manualmente um relatório extenso.

Existem várias ferramentas de código aberto para análise automatizada de segurança de um APK.

• Androbugs
• JAADAS (arquivado)
• MobSF
• QARK