Closed xiaoliangli1128 closed 1 year ago
nkbai
commented
2 years ago 问题1: https://github.com/bytedance/appshark/blob/main/doc/zh/path_traversal_game.md 这是一个比较深入的教程,每个部分,我们都有详细的说明文档,文档都在 https://github.com/bytedance/appshark/blob/main/doc/zh。
问题2: 我们是静态分析工具,可以检测它调用了哪些api,然后使用这些数据,比如上传了,写入数据库了之类的。 至于是同意之前还是同意之后,这样的判断,更适合于动态监测。
dugufei
commented
1 year ago 问题1: https://github.com/bytedance/appshark/blob/main/doc/zh/path_traversal_game.md 这是一个比较深入的教程,每个部分,我们都有详细的说明文档,文档都在 https://github.com/bytedance/appshark/blob/main/doc/zh。
问题2: 我们是静态分析工具,可以检测它调用了哪些api,然后使用这些数据,比如上传了,写入数据库了之类的。 至于是同意之前还是同意之后,这样的判断,更适合于动态监测。
请问一下,看您的答复,如果把这个引擎定义为静态分析工具的话,那么在合规风险检测方面还有不小的局限性,因为像同意隐私政策后的信息采集、高频采集、未经授权的函数调用等合规风险基本都是需要在运行时动态检测的。但根据官方介绍里面“appshark引擎,是用于漏洞及隐私合规风险的自动化检测”的,不知道是官方的远期规划里会有动态监测的部分,还是我的理解不对?
nkbai
commented
1 year ago 目前appshark专注于静态检测,不会去做动态检测的。 我们有其他工具来做动态检测,目前正在规划中。
问题1: https://github.com/bytedance/appshark/blob/main/doc/zh/path_traversal_game.md 这是一个比较深入的教程,每个部分,我们都有详细的说明文档,文档都在 https://github.com/bytedance/appshark/blob/main/doc/zh。 问题2: 我们是静态分析工具,可以检测它调用了哪些api,然后使用这些数据,比如上传了,写入数据库了之类的。 至于是同意之前还是同意之后,这样的判断,更适合于动态监测。
请问一下,看您的答复,如果把这个引擎定义为静态分析工具的话,那么在合规风险检测方面还有不小的局限性,因为像同意隐私政策后的信息采集、高频采集、未经授权的函数调用等合规风险基本都是需要在运行时动态检测的。但根据官方介绍里面“appshark引擎,是用于漏洞及隐私合规风险的自动化检测”的,不知道是官方的远期规划里会有动态监测的部分,还是我的理解不对?
dugufei
commented
1 year ago 目前appshark专注于静态检测,不会去做动态检测的。 我们有其他工具来做动态检测,目前正在规划中。
问题1: https://github.com/bytedance/appshark/blob/main/doc/zh/path_traversal_game.md 这是一个比较深入的教程,每个部分,我们都有详细的说明文档,文档都在 https://github.com/bytedance/appshark/blob/main/doc/zh。 问题2: 我们是静态分析工具,可以检测它调用了哪些api,然后使用这些数据,比如上传了,写入数据库了之类的。 至于是同意之前还是同意之后,这样的判断,更适合于动态监测。
请问一下,看您的答复,如果把这个引擎定义为静态分析工具的话,那么在合规风险检测方面还有不小的局限性,因为像同意隐私政策后的信息采集、高频采集、未经授权的函数调用等合规风险基本都是需要在运行时动态检测的。但根据官方介绍里面“appshark引擎,是用于漏洞及隐私合规风险的自动化检测”的,不知道是官方的远期规划里会有动态监测的部分,还是我的理解不对?
好的,谢谢~
1:如果自己写规则?该怎么写? 2:假如我检测app的隐私合规项,比如检测app有没有在我的允许下,获取我的应用列表,那么这个工具怎么判定是我同意之后,app才获取的应用列表,还是我同意之前,他就获取了呢