owasp-mobile-security-checker

OWASP Mobile Security Checker 是一款专为 Flutter 和 Dart 生态系统中的开发人员与安全分析师设计的工程工具。它通过实现与 OWASP Mobile Top 10 (2024) 框架相符的扫描器，自动检测常见的安全弱点。此技能适用于软件开发生命周期中，特别是发布前的安全门禁、持续集成 (CI) 安全检查以及针对性的弱点评估。它提供可执行的修复建议，帮助团队强化移动应用程序以抵御常见威胁。

• 自动化的 M1 扫描可检测源代码中硬编码的 API 密钥、Firebase 凭证和 AWS 访问令牌。

• M2 依赖性分析可识别 pubspec.yaml 中过时的软件包以及可能导致 CVE 风险的不安全版本限制。

• M5 网络安全审计会检查明文 HTTP 传输、缺失 SSL Pinning 以及不安全的 WebSocket 实现。

• M9 存储分析可识别 SharedPreferences 的未加密使用情况以及 Android 和 iOS 上不安全的文件存储模式。

• 包含针对复杂类别（如 M3 认证、M4 输入验证、M6 隐私、M7 二进制保护、M8 安全配置错误及 M10 加密）的手动指南。

• 提供基于严重性的结果优先级排序，区分 CRITICAL、HIGH、MEDIUM 和 LOW 风险等级。

• 通过扫描本地项目目录中的文件来运行，需要 Python 3.7+ 环境。

• 为每个审计类别生成结构化的 JSON 输出文件，便于整合至 CI/CD 流程中。

• 不可替代专业的渗透测试或针对复杂逻辑弱点的人工代码审查。

• 建议与标准代码审查结合使用；务必验证扫描结果以排除误报，例如仅供开发使用的测试凭证或本地测试端点。

• 工具预期项目包含标准的 Flutter 目录结构与 pubspec.yaml 文件，并支持 Android 和 iOS 目标配置的分析。