[안드로이드] Find Security Bugs 사용 방법 (소스코드 정적 분석 도구)

 

안드로이드 소스코드 정적 분석 도구 Find Security Bugs 설치 방법과 사용 방법

 

소스코드 분석은 정적 분석과 동적 분석으로 나뉜다.

• 정적 분석: 실제 프로그램(웹, 애플리케이션) 실행 없이 프로그램 소스코드로 분석 진행
• 동적 분석: 실제 프로그램을 실행하여 분석 진행

 

해당 글에서는 안드로이드 스튜디오에서 정적 분석을 하기 위한 Find Security Bugs 사용법을 소개한다.

Find Securt Bugs: find-sec-bugs.github.io/

Find Security Bugs

 

Find Security Bugs는 Eclipse, IntelliJ/Android Studio 등에서 사용이 가능하며 Android Studio에서 사용하는 방법을 설명하겠다.

 

공식 사이트에 튜토리얼이 있으니 참고해도 좋을 듯하다.

find-sec-bugs.github.io/tutorials.htm#IntelliJ

 

• 설치 방법

1. File > Setting > Plugins 진입 후 "FindBugs" 검색하여 "QAPlug - FindBugs" install 선택

 

2. install 클릭 시 아래와 같은 경고 메시지가 뜬다. Accept 선택

경고 문구 내용: 플러그인이 내 데이터를 처리할 수 있으며 플러그인 공급 업체에 대한 개인 데이터를 책임지지 않겠다.

 

3. QAPlug - FindBugs를 사용하려면 QAPlug를 설치해야 한다는 알림 메시지. Install 선택

 

4. 설치 완료. 설치가 완료되면 Install 버튼이 Restart IDE로 텍스트가 변경된다.

Restart IDE 선택! Resart 후 FindBUgs 플러그인을 사용할 수 있다.

 

5. File > Settings > Other Settins에 QAPlug이 추가된 것을 볼 수 있다.

 

 

• 사용 방법

1. 프로젝트 폴더 마우스 우클릭 > Analze > Inspect Code... 선택

 

2. 코드 검사 범위 지정 후 OK 선택

프로젝트 전체, 디렉터리 등에 따라 범위를 지정할 수 있다.

 

 

• 검사 결과

아래와 같은 형식으로 나온다.

Android, Java 등등 클릭하면 관련 소스코드까지 볼 수 있고,

관련 소스코드를 수정하면 항목에서 삭제된다.