1***@qq.com
1***@qq.com
  • 发布:2026-07-02 15:37
  • 更新:2026-07-02 15:37
  • 阅读:41

HBuilderX 最新云打包 APK 被 MobSF 扫出 DCloud Runtime 高风险项,需确认是否误报及修复方案

分类:uni-app

我们项目是 uni-app Android App,当前使用 HBuilderX 5.07 进行云打包,已升级到最新 HBuilderX / DCloud Runtime 后重新打包 APK,并使用 MobSF 重新扫描。

基础信息:

  • HBuilderX 版本:5.07
  • App 类型:uni-app Android App
  • 包名:com.neusoft.hkgl
  • AppID:UNIFFDA11F
  • targetSdkVersion:34
  • minSdkVersion:29
  • 打包方式:HBuilderX 云打包
  • APK 类型:Release 包,非自定义调试基座
  • 已确认主应用 android:debuggable=false,android:allowBackup=false
  • 已配置 network_security_config,base-config 已禁止 cleartext traffic,并仅信任 system certificates

目前 MobSF 仍扫描出以下问题,主要指向 DCloud Runtime / 三方 SDK 代码:

  1. Insecure SSL / Trust all certificates
    MobSF 指向:
    • io/dcloud/common/adapter/util/DCloudTrustManager.java
    • io/dcloud/feature/weex/adapter/DCWXHttpAdapter.java

请问:
这些类在 Release 云打包产物中是否会实际信任所有证书?
是否属于静态扫描误报?
如果不是误报,HBuilderX 5.07 / 当前 DCloud Runtime 是否已有修复版本?
如果属于误报,是否可以提供官方说明或建议的整改说明?

  1. SharedPreference World Writable / World Readable
    MobSF 指向:
    • io/dcloud/common/util/TestUtil.java
    • io/dcloud/common/adapter/util/PermissionUtil.java

请问:
这些 SharedPreferences 是否会在 Release 包中以 MODE_WORLD_READABLE / MODE_WORLD_WRITEABLE 方式实际创建?
HBuilderX 5.07 最新 Runtime 是否已修复?
如果是历史兼容代码或误报,是否可以提供官方说明?

  1. AES CBC + PKCS5/PKCS7 padding
    MobSF 指向:
    • io/dcloud/p/d.java

请问:
该加密逻辑在 DCloud Runtime 中具体用于什么场景?
是否涉及用户敏感数据、网络传输或本地持久化?
是否有认证加密或完整性校验?
如果安全报告要求整改为 AES-GCM 或 CBC + HMAC,DCloud 官方建议如何处理?

  1. android:usesCleartextTraffic=true
    我们已配置 network_security_config,MobSF 的 Network Security 部分显示:
    Base config is configured to disallow clear text traffic to all domains。

但是 Manifest Analysis 仍显示:
android:usesCleartextTraffic=true

请问:
HBuilderX 云打包中如何彻底将主 application 的 android:usesCleartextTraffic 设置为 false?
manifest.json 或自定义 AndroidManifest.xml 中配置后,云打包最终产物仍可能保留 true,是否是 DCloud Runtime 默认值?
官方推荐的配置方式是什么?

  1. ProfileInstallReceiver exported=true
    MobSF 显示:
    androidx.profileinstaller.ProfileInstallReceiver exported=true

我们尝试通过自定义 AndroidManifest.xml 使用 tools:node="remove" 移除,但云打包最终 APK 中仍存在。
尝试强制设置 exported=false / enabled=false 时,云打包出现 Manifest merge 冲突。

请问:
HBuilderX 云打包是否支持移除或覆盖该 receiver?
是否需要 DCloud Runtime / AndroidX 依赖侧处理?
如果无法处理,是否可提供官方风险说明?

期望结果:
请 DCloud 官方确认以上问题:

  1. 哪些属于 HBuilderX / DCloud Runtime 已知问题;
  2. 哪些属于静态扫描误报;
  3. 是否有具体修复版本或升级路径;
  4. 云打包是否支持相关 Manifest 覆盖;
  5. 如果暂时无法修复,是否可以提供官方说明,供我们提交给渗透测试 / 安全审计方作为复测依据。
2026-07-02 15:37 负责人:无 分享
已邀请:

要回复问题请先登录注册