第2回 Androidテスト祭りにいってきた。 #atecfes2

第2回 Androidテスト祭り : ATND
に行ってきたのでメモ書きや感想などを書いておきます。


まとめ記事、Togetterはこちら
第2回 Androidテスト祭り に参加してきた #atecfes2 - Shinya’s Daily Report
2012/04/28 第2回 Androidテスト祭り #atecfes2 - Togetter

招待講演「Androidのセキュリティと品質保証の問題について」

  • 谷口 岳 様 (タオソフトウェア株式会社 代表取締役)

Androidセキュリティ本のタオソフトウェアさんのお話。

Android Security  安全なアプリケーションを作成するために

Android Security  安全なアプリケーションを作成するために


資料は以下URLの2012/4/27 第2回テスト祭りからダウンロード可能。
Android Security - 安全なアプリケーションを作成するために

  • アプリ内の著作権データについて
    • データはすべて簡単に抜き取れる
      • PCと接続してAPK抽出
        • APKは実はzipファイルなので、拡張子を変えると構成ファイルを取り出せる
      • Android上でアプリによるリソース吸出し
        • 参考アプリ: tPackageExplorer
        • アプリケーションのリソース情報を認識可能
    • ソースコード解析について
      • Javaなので解析簡単、ツールも出まわってるし
        • アプリ内のPasswordとかを保存してるとすぐに抜き取られる
        • root化必要なし
        • Proguardで難読化(ただの時間稼ぎだけど)
    • まとめ
      • データの抜き取りは簡単に出来る
        • アプリ内にセキュアなファイルはおいておかない
        • サーバからデータを取得など
  • 利用者の個人データなど
    • 原因→わざと流出させることはない。バグやAndroidに対する知識不足が大きい
    • Androidのセキュリティモデルを理解する必要がある
  • Androidのセキュリティ構造
    • 署名
      • 自己署名で、アプリが同一作者のものかどうかの判断に使用
    • ファイルパーミッション
      • Linuxのそれと同じ
      • ファイルの場所によって必要な権限が異なる
      • アプリケーションデータディレクトリのものはroot取らない限り見れない
      • SDカード内のデータは権限なしで読み取り可能
    • Intent使用時の注意
      • ActivityManagerログにActivityに送られたインテントの内容が出てくる
        • ID, パスワードなど書いていた場合は出てくるので注意
        • Android 2.3で隠蔽されるようになった
      • インテントのデータは他アプリで取得可能なもの
        • 他の方法でデータは渡そう
        • インテントデータの暗号化(ただし、あまり良くない方法)

ユーザとベンダで生討論!みんなでつくる「受入れテストガイドライン」

  • ユーザサイド : 株式会社電通プラットフォームビジネス局開発部 様
  • ベンダサイド : 生路 茂太 松木 晋祐(Androidテスト部)
  • こういう勉強会ってユーザサイドの話があまり出てこないよね
    • 無茶をいってユーザサイドの方々に来てもらいました
  • エンジニアとのパートナーシップ構築の一例
    • カヤックブログ
    • ブログがあると技術力やアプリの動作イメージなどが分かりやすい→依頼しやすい
  • アプリの魅力性について
    • こんな感じのが欲しいんだけど→言語化しづらい
    • ふわっとした部分の話って実はアプリが面白くなるかどうかでとても重要なのでは
    • 魅力性を定義
      • ゆか体操の技と点数のようなイメージ
      • 発注側と開発側での意識の齟齬も少なくなる
      • フランスで芸術が優れているのは批評家が多くいるため
        • 批評という形で芸術の魅力が定義されている

CI導入ライブ-jenkins ci server

  • Android Hacks 著者の1人
  • Jenkins のコミッター

Android Hacks ―プロが教えるテクニック & ツール

Android Hacks ―プロが教えるテクニック & ツール

  • Androidが通常アプリよりもCIが重要な理由
    • 製品のライフサイクルが早い。機種が多い
    • OSアップグレードが18ヶ月ごと→これはメーカーに課せられた義務
    • Google Playの評価は最新のものが上になる
  • JenkinsでAndroidを使うためのポイント
    • JenkinsにAndroid SDKを入れるには
      • エミュレータプラグインを入れると自動で入る
      • コマンドで入れることも可能

>| android update sdk -u

    • Antがないプロジェクトを実行するには
      • コマンドで生成できる

>| android update project