モバイル向けSASTツールmobsfscanとCIを使ったDevSecOpsの実現 by Tatsumi0000

皆さんは、モバイルアプリ向けのSAST(Static Application Security Testing)ツールであるmobsfscanをご存知でしょうか？
このツールを使うことで、AndroidやiOS開発において安全でないコードパターンを見つけ、診断結果をSARIF(Static Analysis Results Interchange Format)ファイルとして出力できます。

本セッションでは具体的な設定方法を示しつつ、mobsfscanとGitHub Actionsを活用したDevSecOpsついて紹介します。

• mobsfscanの簡単な使い方
• GitHub Actionsとmobsfscanを使い安全でないコードパターンをSARIFファイルとして出力
• 出力したSARIFファイルをもとにGitHub上のSecurityタブにアラートとして表示