字节跳动开源的，运行在 macOS 上，专注于移动端研发的工具链应用

Posted 2022-01-26 开发者头条

大家好，我是周刊菌。

加入「码农周刊VIP会员」，一起牛起来！

以下内容选自「码农周刊 VIP 会员」圈子，每日更新，精彩不断。

码农周刊是什么？

码农周刊是一份专为广大程序员、编程爱好者们打造的 IT 技术周刊。每周发送。
2013 年 9 月 12 日创刊至今，已发送 300 多期，订阅用户超 20 万。
专业、简单、有用，是我们一直坚持的办刊宗旨。一路走来，我们见证了不少订阅用户从编程新手进阶成了高级程序员、架构师、CTO……

2020 年 4 月，为了给用户提供更优质的服务，我们推出了「码农周刊VIP会员」服务。
你与 BAT 技术大牛，只差一份「码农周刊VIP会员」的距离！

VIP会员特权

1. 52 期码农周刊VIP会员专属邮件周报，让你及时掌握技术动向；

2. 只限VIP会员加入的交流圈子，让你与技术大牛切磋学习；

3. VIP会员独享的工作机会，为你介绍好公司的好机会；

4. 更多会员特权，持续更新……

如何加入「码农周刊VIP会员」？

1. 微信扫描下方二维码，加入码农周刊VIP会员知识星球。促销期间，一年仅需 108 元！平均一天花费不到 3 毛！

2. 加入码农周刊VIP会员知识星球后，客服会联系您，请留意知识星球内的私信。
3. 客服向您发送码农周刊VIP会员欢迎邮件，开启您的码农周刊VIP会员之旅。

心动不如心动，赶快订阅吧！

字节跳动开源隐私合规检测工具appshark

一、背景
随着移动互联网的高速发展，人们的生产生活也逐渐从 PC 电脑端转移到手机等移动端，各类移动 App 也如雨后春笋般产生。受限于代码的开发质量等原因， App 中或多或少的会存在安全漏洞或因开发设计不谨慎引入的违规收集个人信息等合规风险，带着漏洞运行的 App 将严重威胁着网络及用户安全，合规问题则可能受到监管通报甚至存在下架处罚风险。

因此，企业也在加大人力进行漏洞及合规风险挖掘并推进修复等相关工作，目前行业内普遍采用人工审计加自动化检测工具去发现风险。不过随着数量越来越庞大的漏洞，以及 App 隐私合规等问题的出现，安全人员面临的挑战逐渐升级，故一个有效的漏洞及合规风险自动化检测工具将为安全人员的人工挖掘提供良好补充，也节省了大量时间和人力。

在字节跳动，面对数量众多的 App 产品需要在产品上线前发现隐私合规风险，挖掘出安全漏洞，保护用户的数据与隐私安全。而无恒实验室对业内自动化 App 漏洞检测工具进行了充分调研，最终发现这些工具或因为漏报、误报率太高导致需要消耗大量人力对扫描结果进行确认，或因为不开放源码导致无法根据特定的扫描需求进行定制化开发。为了能更好的实现高质量漏洞及隐私合规检测，无恒实验室自主研发了 appshark 引擎，用于漏洞及隐私合规风险的自动化检测。无恒实验室选择将这个引擎开源，成为一个公共的工具，希望吸引更多业界专家参与打磨，为企业及白帽子做 App 风险检测提供便利。

二、appshark能解决的问题

appshark 除了实现行业普遍应用的数据流分析，还将指针分析与数据流分析融合，