mobsfscan 镜像文档

镜像概述和主要用途

mobsfscan是一款静态分析工具，用于识别Android和iOS源代码中的不安全代码模式。该工具支持Java、Kotlin、Swift和Objective-C语言，基于MobSF静态分析规则，并由semgrep和libsast模式匹配器提供技术支持，适用于移动应用的安全代码审查和漏洞检测。

核心功能和特性

• 多语言支持：兼容Android（Java、Kotlin）和iOS（Swift、Objective-C）源代码
• 规则库：集成MobSF的专业移动安全规则，覆盖OWASP Mobile Top 10等常见风险
• 输出格式灵活：支持JSON、SARIF 2.1.0、SonarQube兼容格式及HTML报告
• 可配置性：通过.mobsf配置文件自定义忽略文件、路径或规则
• CI/CD集成：支持GitHub Actions、GitLab CI/CD、Travis CI等主流持续集成平台
• 轻量部署：提供Docker镜像，支持快速部署和跨平台运行

使用场景和适用范围

• 移动应用开发团队：在开发阶段自动化检测代码中的安全缺陷
• 安全测试人员：对第三方Android/iOS应用源代码进行安全评估
• DevSecOps流程：集成到CI/CD流水线，实现代码提交阶段的自动化安全检查
• 合规审计：验证移动应用是否符合OWASP MSTG、MASVS等安全标准

详细使用方法和配置说明

Docker部署

预构建镜像（DockerHub）

直接拉取***预构建镜像并运行：

# 拉取镜像
docker pull opensecurity/mobsfscan

# 运行容器（挂载本地源代码目录）
docker run -v /本地源代码目录:/src opensecurity/mobsfscan /src

本地构建镜像

如需自定义构建，可按以下步骤操作：

# 克隆仓库（如需修改源码）
git clone [***]
cd mobsfscan

# 构建镜像
docker build -t mobsfscan .

# 运行容器（挂载本地源代码目录）
docker run -v /本地源代码目录:/src mobsfscan /src

命令行选项

容器内运行时支持以下命令行参数（路径参数需指向容器内挂载的源代码路径，如/src）：

usage: mobsfscan [-h] [--json] [--sarif] [--sonarqube] [--html] [-o OUTPUT] [-c CONFIG] [-w] [-v] [path [path ...]]

positional arguments:
  path                  源代码文件或目录路径（容器内路径，如/src）

optional arguments:
  -h, --help            显示帮助信息并退出
  --json                输出格式为JSON
  --sarif               输出格式为SARIF 2.1.0
  --sonarqube           输出格式兼容SonarQube
  --html                输出格式为HTML
  -o OUTPUT, --output OUTPUT
                        保存结果的文件名（如/output/report.json）
  -c CONFIG, --config CONFIG
                        自定义.mobsf配置文件路径
  -w, --exit-warning    警告级别问题返回非零退出码
  -v, --version         显示mobsfscan版本

配置文件

通过.mobsf配置文件（YAML格式）自定义扫描行为，支持以下配置项：

---
- ignore-filenames:       # 忽略的文件名
  - skip.java
  - temp.swift

  ignore-paths:           # 忽略的目录路径
  - __MACOSX
  - test/resources

  ignore-rules:           # 忽略的规则ID
  - android_kotlin_logging
  - ios_swift_logging

  severity-filter:        # 过滤的风险级别（仅显示指定级别）
  - WARNING
  - ERROR

使用配置文件时，需将文件挂载到容器内并通过--config指定路径：

docker run -v /本地配置文件/.mobsf:/config/.mobsf -v /本地源代码:/src opensecurity/mobsfscan /src --config /config/.mobsf

抑制单个发现

在源代码中添加特定注释可抑制单行规则触发，格式为// mobsf-ignore: rule_id1, rule_id2（Java/Kotlin）或// mobsf-ignore: rule_id1, rule_id2（Swift/Objective-C）：

String password = "sensitive_password"; // mobsf-ignore: hardcoded_password

输出示例

默认文本格式输出示例：

- Pattern Match ████████████████████████████████████████████████████████████ 3
- Semantic Grep ██████ 37

mobsfscan: v0.0.2 | Ajin Abraham | opensecurity.in
╒══════════════╤════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════╕
│ RULE ID      │ android_webview_ignore_ssl                                                                                                                             │
├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ DESCRIPTION  │ 不安全的WebView实现。WebView忽略SSL证书错误并接受任何SSL证书，导致应用易受MITM***                                                                       │
...

CI/CD集成示例

GitHub Actions

在.github/workflows/mobsfscan.yml中配置：

name: mobsfscan
on: [push, pull_request]
jobs:
  scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: 运行mobsfscan
        uses: docker://opensecurity/mobsfscan
        with:
          args: . --sarif --output results.sarif
      - name: 上传SARIF报告
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: results.sarif

GitLab CI/CD

在.gitlab-ci.yml中配置：

stages:
  - security
mobsfscan:
  stage: security
  image: opensecurity/mobsfscan
  script:
    - mobsfscan . --html --output report.html
  artifacts:
    paths:
      - report.html