plist에 포함된 key값들이 Privacy Violation: iOS Property List
카테고리로 취약점검사에 포함될 수 있다.
하지만 해당 키값이 취약점 검사대상이 아닐 수 있다. 아래 몇개 사항을 보자.
-
GoogleService-Info.plist
의API_KEY
API_KEY
는 취약점 검사대상이 아니다.https://firebase.google.com/docs/projects/api-keys#api-keys-for-firebase-are-different
Usually, you need to fastidiously guard API keys (for example, by using a vault service or setting the keys as environment variables); however, API keys for Firebase services are ok to include in code or checked-in config files.
-
KAKAO_APP_KEY 카카오SDK 사용을 위한 키
KAKAO_APP_KEY
역시 취약점 검사대상이 아니다.https://devtalk.kakao.com/u/michael
@nakata52 살짝 보안 취약성 검사에 오해가 있는것 같아요. kakao app key의 경우 secret 정보가 아닙니다. 쉽게 얘기해서 app id, app 식별 정도를 나타내는 것으로서 보안 적용 대상이 되지 않아요. 해당 key는 regen도 가능하며, 외부에 노출될 수 있는 값의 속성이에요. secret 정보에 해당하는 것은 client secret 및 admin app key로서 이것은 해당 부분에 저장을 하지 않습니다. 결론은 KAKAO_APP_KEY의 경우는 보안 취약성 검사 대상이 아니에요.