android - (强化)类别: Android Bad Practices: Missing Google Play Services Updated Security Provider (1 Issues)

我们正在使用Fortify扫描我的Android源代码，但我无法摆脱这个问题:

Fortify指向以下代码行:

AndroidManifest.xml:37 null()
  <application
    android:name=".test"
    android:allowBackup="false"
    android:hardwareAccelerated="true"
    android:icon="@mipmap/ic_launcher"
    android:label="@string/app_name"
    android:networkSecurityConfig="@xml/network_security_config"
    android:supportsRtl="true"
    android:theme="@style/AppTheme"
    tools:replace="android:allowBackup"> <!--FORTIFY POINTS TO THIS LINE-->

强化建议:

有关此issue的更多信息

我关注了Android的Update your security provider to protect against SSL exploits

并尝试了两种方法:

但是问题仍然存在。我测试了我的代码，它工作正常。

这是我的 list :

<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    xmlns:tools="http://schemas.android.com/tools"
    package="test">

    <uses-permission android:name="android.permission.INTERNET" />

    <application
        android:name=".test"
        android:allowBackup="false"
        android:hardwareAccelerated="true"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:networkSecurityConfig="@xml/network_security_config"
        android:supportsRtl="true"
        android:theme="@style/AppTheme"
        tools:replace="android:allowBackup">

        <meta-data
            android:name="com.google.android.gms.version"
            android:value="@integer/google_play_services_version" />

        <provider
            android:name=".syncadapter.StubProvider"
            android:authorities="com.neseapl.nyp.provider"
            android:exported="false"
            android:syncable="true"/>

        <service
            android:name=".syncadapter.SyncService"
            android:exported="false">
            <intent-filter>
                <action android:name="android.content.SyncAdapter" />
            </intent-filter>
            <meta-data
                android:name="android.content.SyncAdapter"
                android:resource="@xml/syncadapter" />
        </service>

        <service
            android:name=".syncadapter.AuthenticatorService">
            <intent-filter>
                <action android:name="android.accounts.AccountAuthenticator"/>
            </intent-filter>
            <meta-data
                android:name="android.accounts.AccountAuthenticator"
                android:resource="@xml/account_authenticator" />
        </service>

        <activity
            android:name=".activities.Test"
            android:configChanges="orientation|screenSize">
            <intent-filter>
                <action android:name="android.intent.action.MAIN" />

                <category android:name="android.intent.category.LAUNCHER" />
            </intent-filter>
        </activity>
    </application>

</manifest>

我的 list 中缺少任何内容吗？谢谢!

最佳答案

我最近在Fortify遇到了类似的问题。正如Silvia Ragui指出的那样，Fortify无法正确分析此运行时过程。虽然installIfNeeded()和installIfNeededAsync()将在APK的实际部署中更新安全提供程序，但是当您重新提交给Fortify时，它似乎无法清除错误。

但是，潜在的问题是过时的安全提供程序，通常是由于软件包中的过时播放服务库造成的。

以下是直接来自强化仪表板的建议:

实际问题与Silvia日志的最后一行相同:

在我们的案例中，我们将软件包中的Play服务更新到了最新版本，并在上面实现了the fix(这样做时，我们发现必须修复一些小错误，并且可能阻止了该更新对Security Provider进行修补)

新版本成功解决了该问题。我建议您将您更新到最新的Play服务，因为这也会更新安全提供程序。