本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Device Farm 中的配置漏洞分析和管理 Device Farm 允许您运行未由供应商(例如操作系统供应商、硬件供应商或电话运营商)积极维护或修补的软件。Device Farm 尽最大努力维护最新的软件,但不保证物理设备上的任何特定版本的软件都是最新的,因为其设计允许将可能存在漏洞的软件投入使用。 例如,如果在搭载 Android 4.4.2 的设备上进行了测试,Device Farm 不保证该设备已针对[安卓系统中名为的漏洞](https://en.wikipedia.org/wiki/Stagefright_(bug))进行了修补。 StageFright设备的供应商(有时是运营商)负责为设备提供安全更新。我们不保证利用此漏洞的恶意应用程序一定会被我们的自动隔离措施捕获。 私人设备将根据您与之达成的协议进行维护 AWS。 Device Farm 尽最大努力防止客户应用程序执行诸如 *root* 或*越狱*等操作。Device Farm 会从公有池中删除隔离的设备,直到手动检查这些设备为止。 您需负责及时更新在测试中使用的任何库或软件版本(例如 Python wheel 和 Ruby gem)。Device Farm 建议您更新您的测试库。 这些资源有助于您将测试依赖关系保持最新: + 有关如何保护 Ruby gems 的信息,请参阅 RubyGems 网站上的[安全实践](https://guides.rubygems.org/security/)。 + 有关 Pipenv 使用并经 Python 打包机构认可的用于扫描依赖关系图中是否存在已知漏洞的安全包的信息,请参阅上的 “[安全漏洞检测](https://github.com/pypa/pipenv/blob/master/docs/advanced.rst#-detection-of-security-vulnerabilities)”。 GitHub + 有关开放 Web 应用程序安全项目 (OWASP) Maven 依赖项检查器的信息,请参阅 [OWASP 网站上的 OWAS DependencyCheck](https://owasp.org/www-project-dependency-check/) P。 切记,即使自动化系统认为不存在任何已知的安全问题,也并不意味着就真的不存在任何安全问题。在使用来自第三方的库或工具时务必要谨慎,并在可能或合理的情况下验证加密签名。