five to week

문제 상황팀 개발자분이 회사 안드로이드 앱이 난독화가 필요할 것 같다고 하셔서, 준비를 하게 되었습니다. 이전에 했던 개인 프로젝트들을 스토어에 올릴 때, abb 파일을 올리면 Progard 혹은 R8을 사용해서 난독화된 코드를 사용하라는 경고 메세지를 본 적이 있습니다. 이번 기회에 앱 난독화는 왜 해야하는지, 어떻게 하는 것인지 정리하려고 합니다. 난독화난독화는 코드의 가독성을 떨어뜨려, 소스 코드를 분석하거나 역공학하는 것을 어렵게 만드는 기법입니다. 난독화를 통해 코드의 변수명, 메서드명, 클래스명을 의미 없는 문자열로 변환하거나, 코드의 구조를 복잡하게 만들어서 코드를 읽기 어렵게 만듭니다. 이는 주로 소스 코드의 보안을 강화하고, 소스 코드의 무단 복제나 악의적인 사용을 방지하기 위해 사용됩니..

문제 상황Dagger에서 발생하는 MissingBinding 오류는 종속성 주입 과정에서 필요한 객체를 제공할 방법이 없을 때 나타납니다. 이 경우 UserData 객체에 대한 의존성을 해결하기 위해 적절한 제공 메커니즘을 설정해야 합니다. UserData가 객체로 정의되어 있기 때문에, 이 객체의 인스턴스를 주입할 수 있도록 Dagger 설정을 추가해야 합니다. UserData 제공 설정UserData는 이미 object로 선언되어 있으므로, Dagger 모듈에서 이를 직접 제공하는 방법으로 접근할 수 있습니다.UserData를 Dagger 컨테이너에 등록하여 다른 컴포넌트에서 UserData를 주입받을 수 있도록 설정합니다. 이를 위해 @Provides와 @Singleton 어노테이션을 사용하여 Us..

문제 상황Dagger에서 "Found a dependency cycle" 오류는 Dagger의 종속성 주입 과정에서 의존성 사이클이 감지될 때 발생합니다. 이는 하나 이상의 클래스가 서로를 직접적이거나 간접적으로 의존하고 있어서 순환 의존성이 생긴 경우입니다. 이러한 순환 의존성은 Dagger가 의존성 그래프를 구성할 때 종료 조건을 만족시키지 못해 발생하는 문제입니다. 문제 분석TokenAuthenticator: Authenticator가 ApiService: interface를 필요로 하고, 동시에 ApiService interface가 TokenAuthenticator:Authenticator를 포함하는 OkHttpClient: OkHttpClient를 필요로 하는 설정에서 순환 의존성이 발생할 수..

문제 상황소프트웨어 개발 구현 단계에서 검증해야하는 보안 점검 내용은 총 7가지로, 입력 데이터 검증 및 표현, 보안 기능, 시간 및 상태, 에러처리, 코드 오류, 캡슐화, API 오용이 있습니다. 이중 입력 데이터 검증 및 표현, 보안 기능, 코드 오류, 캡슐화 부분에 대해서 정리하겠습니다. 입력 데이터 검증 및 표현입력 데이터 검증 및 표현은 입력 데이터로 인한 문제를 예방하기 위해 구현 단계에서 반드시 검증해야 하는 보안 점검 항목입니다.SQL 삽입(SQL Injection)웹 응용 프로그램에 SQL을 삽입하여 내부 데이터베이스 서버의 데이터를 유출 및 변조하고, 관리자 인증을 우회하는 보안 약점입니다.동적 쿼리에서 사용하는 입력 데이터가 예약어 및 특수 문자가 입력되지 않도록 필터링하게 설정하여 ..

Secure SDLCSecure SDLC는 보안상 안전한 소프트웨어를 개발하기 위해 SDLC에 보안을 위한 프로세스를 추가한 것을 말합니다. SDLC는 소프트웨어 개발 생명주기를 줄인 말로, 소프트웨어를 개발하기 위한 모든 과정(요구사항 분석, 설계, 구현, 테스트, 유지보수 등)을 단계별로 나눈 것입니다. Secure SDLC의 대표적인 방법론CLASP(Comprehensive, Lightweight Application Security Process)CLASP는 Comprehensive, Lightweight Application Security Process의 약자로, 소프트웨어 개발 초기 단계에서 보안을 강화하기 위해 개발된 방법론입니다. 개발 초기에 보안을 고려하는 것을 중요시하며, 다양한 보안..

문제 상황펌웨어 업데이트나 블루투스 통신을 통해 데이터를 안전하게 전송하기 위해 CRC32를 사용하여 데이터의 무결성을 검사하려고 합니다. CRC32은 어떤 것이며, 안드로이드 앱에서 이를 어떻게 사용할 수 있는지 정리해 보겠습니다. 왜 CRC32를 사용해야하는가?CRC32는 데이터의 무결성을 검증하기 위한 체크섬 기법 중 하나입니다. 데이터가 전송 도중 변경되었는지 여부를 간단하게 확인할 수 있어, 데이터 손상을 감지하고 재전송 요구 없이 효율적으로 오류를 처리할 수 있습니다.체크섬(Checksum)은 주어진 데이터의 일부를 특정 알고리즘을 통해 계산하여 생성됩니다. 이 값은 데이터 블록이나 파일의 모든 비트를 고려하여 생성되며, 일반적으로 고유한 데이터 시그니처 역할을 합니다. 데이터가 손상되었는지 ..