-
是否使用了NSLog
-
如果使用了NSLog是否仅在调试模式使用
-
所有的URL都是HTTPS
-
本地文件的路径不是硬编码的
-
检查最新版本和补丁程序的依赖关系
-
没有使用私有API
-
代码中没有嵌入私钥或隐私
-
资源中没有嵌入私钥或隐私
-
没有运行不到的代码或无用代码
-
权利是正确的(没有丢失,没有附加)
-
如果使用connection:willSendRequestForAuthenticationChallenge:方法,没有userCredential:forAuthenticationChallenge:的直接分支(没有任何代码)
-
应用使用了IDFV
-
应该使用了IDFA
-
为应用签名设置正确的配置文件/证书
-
检查SQL注入
-
运行时分析-日志
-
仅对文件执行日志记录
-
定期删除日志文件
-
执行日志循环
-
日志中没有隐私或敏感信息
-
打印栈跟踪时不会记录敏感信息
-
运行时分析-网络
-
只使用HTTPS URL
-
服务器有针对CRIME攻击的实现
-
服务器和客户端应用有针对BREACH攻击的实现
-
客户端使用证书锁定
-
设置正确的缓存策略
-
运行时分析-认证
-
应用使用第三方身份验证
-
应用使用自定义身份验证
-
第三方验证SDK按照此清单的其余部分进行了严格的审核
-
登录UI隐藏了密码
-
密码不可复制
-
应用实现了密码
-
密码存储在钥匙串中
-
可以通过服务器的配置更改身份验证工作流
-
运行时分析-本地存储
-
应用使用本地存储
-
加密所有的敏感信息
-
周期性的清理存储
-
运行时分析-数据共享
-
应用使用共享密钥库保存常见设置
-
验证深层链接URL
-
验证任何传入的数据
-
不向未知应用共享任何敏感数据
-
使用应用扩展时,设置正确的群组ID