近日，WitAwards 2022年度頒獎典禮在上海舉辦，字節跳動無恒實驗室自主研發的安全檢測工具appshark獲得2022年度最佳安全開源項目。

appshark 是用于漏洞及隱私合規風險的自動化檢測工具，無恒實驗室今年9月將其開源（項目地址：http://github.com/bytedance/appshark），成為一個公共的工具。無恒實驗室是由字節跳動資深安全研究人員組成的專業攻防研究實驗室。該實驗室表示，開源appshark是希望吸引更多業界專家參與打磨，為企業及白帽子做 App 風險檢測提供便利。

本次WitAwards 2022頒獎典禮與CIS2022網絡安全創新大會主論壇同期舉辦，同時無恒實驗室的安全研究員白振軒也受邀在CIS2022主論壇發表了題為《Hack Demo：appshark在安全合規中的應用》的演講。

白振軒在演講中詳細地介紹了appshark的原理，appshark 除了可以實現行業普遍應用的數據流分析，還將指針分析與數據流分析融合，因而漏洞建模上更精準，規則更靈活，在誤報率和漏報率方面有了比較大的改進。

振軒通過真實案例來講解如何使用appshark，并針對指針指向關系表和數據流向關系表進行了規則撰寫的分享。隨后向與會觀眾展示了利用appshark引擎挖掘AOSP中Intent Redirection漏洞的實際案例，這兩個高危漏洞也被谷歌授予CVE。關于這兩個漏洞的發現細節，感興趣的朋友歡迎觀看本篇文章：AOSP Bug Hunting with appshark (1): Intent Redirection（https://mp.weixin.qq.com/s/CY2nLUb2VQaBNxAKd7GeUQ）

在演講最后，振軒指出appshark 不僅可以作為公司內部的 Android App 的自動化檢測工具，輔助企業發現 App 的安全漏洞以及隱私合規風險，也可以作為白帽子日常 App 漏洞挖掘的助手，提高漏洞挖掘的效率及產出。同時appshark的輸出結果也非常適合程序處理，更加靈活的規則撰寫、可擴展性，希望大家一起來建設使用appshark（開源項目地址：http://github.com/bytedance/appshark）。

互聯網技術的高速迭代更新，開源社區也提供了很大的支撐作用。在網絡安全行業中，安全開源項目更是為安全產業發展提供了良好的協作環境，讓安全同行避免重復造輪子，降低研發成本，助力安全技術創新發展，走的更快更遠。同時，越來越多的參與者參與到安全開源項目的試用與測試中，也讓開源項目也變得更加完善。兩者相輔相成，為網絡安全產業帶來極大的福祉。

據悉，無恒實驗室極為重視開源軟件與系統對業務安全的影響，在檢測內部引入的開源框架和系統的同時，也著力于構建第三方框架和組件的漏洞緩解機制，并持續與業界共享研究成果、共同合作，協助企業業務避免遭受安全風險，為網絡安全行業的發展做出貢獻。