MASTG-TECH-0129: 运行时验证 Android 依赖项

分析依赖项的首选技术是 在构建时对 Android 依赖项进行软件成分分析 (SCA) 和 通过创建 SBOM 对 Android 依赖项进行软件成分分析 (SCA)。 这里描述的这种技术只应在黑盒环境中使用，因为它需要手动且不易自动化。

在分析应用程序时，重要的是分析它的依赖项（通常以库的形式存在），并确保它们不包含任何已知的漏洞。 如果源代码不可用，你可以反编译应用程序并检查 JAR 文件。 如果正确使用了 Proguard 或其他代码混淆工具，那么关于库的版本信息通常会被混淆。 否则，这些信息仍然可以在给定库的 Java 文件的注释中找到。 诸如 blint 等工具可以帮助分析与应用程序打包在一起的可能库。 如果你可以从注释或某些版本中使用的特定方法确定库的版本，你可以手动搜索 CVE。