安卓安全开发参考

最近的安卓开发需要绕过 SSL 请求 API 和视频文件，不由得让我反思安卓 APP 安全方面的思考。下面是 ProAndroidDev 对安卓开发的安全建议。

• 1、使用 CredentialManager 保存敏感账号和密码。利用 Android Jetpack 安全库进行安全数据存储，包括敏感信息的加密和解密。
• 2、使用 HTTPS (TLS/SSL) 等安全通信协议来保护应用程序和服务器之间传输的敏感数据。使用 OkHttp 库实现安全网络通信，包括对 TLS/SSL 和证书固定的支持。
• 3、实施强大的用户身份验证机制，例如多重身份验证 (MFA) 或生物识别身份验证，以验证用户身份。集成 OAuth 身份验证以实现安全的用户身份验证，包括电子邮件/密码、社交登录和多因素身份验证。利用 jjwt 等库安全地生成、签名和验证 JWT 令牌以进行用户授权。
• 4、定期更新应用程序中使用的 Android SDK、库和依赖项，以包含安全补丁和错误修复。执行代码审查并使用静态分析工具来识别和修复代码库中的安全漏洞。在将第三方库和 API 集成到您的应用程序之前，请验证它们的声誉和安全状况。使用 ProGuard 来混淆和缩小应用程序的代码，使其更能抵抗逆向工程。
• 5、遵循隐私法规和最佳实践，向用户清楚地传达应用程序的数据收集和使用实践。收集和处理个人信息时获得用户明确同意。
• 6、定期进行安全评估，包括渗透测试和漏洞扫描，以识别和解决潜在的安全缺陷。利用 MobSF 执行动态应用程序安全测试 (DAST) 并识别应用程序中的安全漏洞。集成 SonarQube 进行静态代码分析，以识别安全漏洞、代码异味和其他代码质量问题。