owasp-mobile-security-checker

OWASP Mobile Security Checker 是一款專為 Flutter 和 Dart 生態系統中的開發人員與安全分析師設計的工程工具。它透過實作與 OWASP Mobile Top 10 (2024) 框架相符的掃描器，自動偵測常見的安全弱點。此技能適用於軟體開發生命週期中，特別是發布前的安全閘門、持續整合 (CI) 安全檢查以及針對性的弱點評估。它提供可執行的修復建議，幫助團隊強化行動應用程式以抵禦常見威脅。

• 自動化的 M1 掃描可偵測原始碼中硬編碼的 API 金鑰、Firebase 憑證和 AWS 存取權杖。

• M2 依賴性分析可識別 pubspec.yaml 中過時的套件以及可能導致 CVE 風險的不安全版本限制。

• M5 網路安全審計會檢查明文 HTTP 傳輸、缺少 SSL Pinning 以及不安全的 WebSocket 實作。

• M9 儲存分析可識別 SharedPreferences 的未加密使用情況以及 Android 和 iOS 上不安全的文件儲存模式。

• 包含針對複雜類別（如 M3 認證、M4 輸入驗證、M6 隱私、M7 二進位保護、M8 安全配置錯誤及 M10 加密）的手動指南。

• 提供基於嚴重性的結果優先順序，區分 CRITICAL、HIGH、MEDIUM 和 LOW 風險等級。

• 透過掃描本地專案目錄中的檔案來運作，需要 Python 3.7+ 環境。

• 為每個審計類別產生結構化的 JSON 輸出檔案，便於整合至 CI/CD 流程中。

• 不可替代專業的滲透測試或針對複雜邏輯弱點的人工代碼審閱。

• 建議與標準代碼審查結合使用；務必驗證掃描結果以排除誤報，例如僅供開發使用的測試憑證或本地測試端點。

• 工具預期專案包含標準的 Flutter 目錄結構與 pubspec.yaml 檔案，並支援 Android 和 iOS 目標配置的分析。