3
Xcode 4.6的构建设置标记为“滥用钥匙串服务API”,也就是CLANG_ANALYZER_SECURITY_KEYCHAIN_API。快速帮助无用:“滥用Keychain Services API”分析发现了哪些错误?
检查是否滥用了钥匙串服务API。
因此,Clang静态分析仪在这种情况下寻找什么样的“误用”?
A
回答
6
它旨在确保由Keychain Services API中的函数分配的内存由调用方以正确的方式释放。例如,SecKeychainFindGenericPassword通过输出参数返回密码数据。调用者需要通过SecKeychainItemFreeContent而不是像free这样的替代API来释放此数据。未能使用正确的API可能会将敏感数据(例如密码)留在内存中。
如果您对更多细节感兴趣,可以在LLVM SVN repository中看到此检查器的实现。
3
评论中the source code解释说:
// This checker flags misuses of KeyChainAPI. In particular, the password data
// allocated/returned by SecKeychainItemCopyContent,
// SecKeychainFindGenericPassword, SecKeychainFindInternetPassword functions has
// to be freed using a call to SecKeychainItemFreeContent.
它似乎并没有做任何事情比这更花哨。
相关问题
- 1. git错误或滥用分支?
- 2. 此API项目发现了一个内部错误:Google Places API
- 3. 在解析iOS中的JSON时出现了一些错误?
- 4. 如何检测发生了哪些值错误?
- 5. 错误:使用YouTube分析API时出现“message”:“需要登录”
- 6. 获取SQLite滥用错误
- 7. iPhone开发 - 分析错误
- 8. iOS SDK 4.x是否支持模拟器中的Keychain Services API?
- 9. cocoa + keychain api
- 10. 我在PHP中发现了错误还是错过了一些东西?
- 11. 如何运行Visual Studio 2012内存分析器?我发现了错误DA0002
- 12. 这些错误有哪些?
- 13. 错误(28,13):无法解析:com.google.android.gms:play-services:10.0.1
- 14. 尝试执行YouTube分析API时出现'禁止发生错误'
- 15. 实现JAXBContext解析器类:列表中存储了哪些类?
- 16. Visual Studio Team Services Rest API unauthorized_client错误
- 17. 的API层返回JSON编码,我发现了以下错误
- 18. 发现了一些字
- 19. Web API消息:发生了错误
- 20. 谷歌Analytics(分析)Api错误
- 21. 谷歌分析API - 错误:redirect_uri_mismatch
- 22. 除了leftronic.com,还有哪些分析仪表板可供选择?
- 23. 谷歌分析报告API错误
- 24. 错误在哪里?发现大多数
- 25. ASP.NET Web API 2中的AuthorizeAttribute发生了哪些变化?
- 26. 您发现哪些CSS框架有用?
- 27. Elasticsearch:显示哪个分析器用于分析api
- 28. 我随机发现了jquery错误
- 29. XML分析错误 - 使用C#的Salesforce批量API
- 30. 从Reporting Services呈现到PDF时发生错误
我在[静态分析器 - 问题 - 安全]下的BuildSettings中看到了这个,但是在它前面还有一个YES和No的选项。我很困惑它实际上是什么意思..例如,写有'KeyChain的滥用服务API“,并在它前面我有一个选项,是和否。这是否意味着如果我将它设置为否,它不会被滥用或什么。看起来很荒唐。任何帮助? – 2017-02-11 18:29:41
该设置控制是否启用特定分析仪检查。 – bdash 2017-02-11 18:31:16