Компания Google запустила базу знаний об уязвимостях в системе безопасности Android с целью помочь разработчикам сделать свои приложения для Android более безопасными.
База знаний по безопасности приложений Android (Android Application Security Knowledge Base, AAKB) содержит рекомендации по написанию безопасного программного обеспечения для Android. Она представляет собой хранилище распространенных проблем в коде с примерами их устранения и пояснениями по реализации конкретных моделей.
Google уже сканирует каждое приложение в Google Play на наличие наиболее распространенных классов уязвимостей безопасности и предупреждает разработчиков в случае обнаружения проблем. Если серьезная уязвимость безопасности обнаружена и не устранена, Google может удалить приложение из Google Play.
Однако новая база знаний была составлена с учетом того, что разработчикам необходимо знать не только о том, какие уязвимости были обнаружены, но и о том, как устранить проблемы и как избежать подобных неприятностей в будущем.
Цель AAKB — создать руководство по написанию безопасного программного обеспечения для Android. Подробная информация об уязвимостях и советы по их устранению соответствуют стандартам OWASP MASVS (Mobile Application Security Verification Standard), которые являются отраслевыми стандартами безопасности для мобильных приложений. По словам Google, контент проверяется в сотрудничестве с техническими экспертами, например из Microsoft, с целью обеспечения того, чтобы контент не был предвзятым по отношению к одной из сторон и представлял собой современные стандарты.
Руководство доступно на домашней странице AAKB или в Android Studio, которая «ссылается на руководство по устранению недостатков прямо в проверках линтера«. Существующие проверки безопасности в Android Studio Giraffe+ обновили свои описания, включив в них ссылку на соответствующую статью AAKB.