はじめに
最近GoogleのAPIを使用する際などの事前審査の項目に、脆弱性テストの結果を求められるようになりましたね。
アプリのセキュリティレベルを押し上げるための施策かと思いますが、今回は審査時に必要な脆弱性テストをFluid Attacksを使用して実施するための手順をまとめておこうと思います。
Fluid Attacksとは?
Fluid Attacksは、Android、iOS、Windows UI用のアプリケーションのセキュリティ脆弱性を検出するサービスになります。
2001年から、テクノロジー業界などのクライアント向けにセキュリティサービスソリューションを開発しています。
テスト実施手順
まず、環境はMacで実施し、Docker環境がインストール済みである前提でご説明します。
DockerがPC内にインストールされていない場合は、以下を参考に導入しておいてください。
上記がすでに環境としてある場合は実施に向け準備を進めていきます。
まず実行に必要なconfigファイルを以下よりダウンロードしておきます。
次に、以下画像を参考に上記configファイルをテスト対象のプロジェクト直下に配置します。
次に、ご自身の環境のCPUのアーキテクチャを確認します。
以下コマンドを実行することで確認可能です。
$ uname -m
アーキテクチャが判明したら、次は実行に必要なDockerファイルをpullします。
$ docker pull ghcr.io/fluidattacks/makes/<arch>:latest
archには先ほど調べたアーキテクチャの結果をもとにamd64かarm64のどちらか設定します。
上記pullが完了すれば、以下コマンドを実行し、脆弱性のテストを実行します。
$ docker run -v <実行するプロジェクトへのパス>:/working-dir ghcr.io/fluidattacks/makes/<先ほどのアーキテクチャ> m gitlab:fluidattacks/universe@trunk /skims scan ./config.yaml
実行は以上です。
問題なく完了すればプロジェクト直下にFluid-Attacks-Results.csvというCSVファイルが生成されるので、結果を見て脆弱性が見つかれば対応し、見つからなければ左記ファイルを審査する際にご提出すれば完了です。
さいごに
上記コマンドを実行するだけでお手軽に脆弱性テストができるので、便利ですね。
このテストも本番配信前とかに自動化できたらより便利に利用できそうですね。