Facebook представи Pysa, статичен анализатор за езика Python

Facebook подадено отворен статичен анализатор Писа (Python Static Analyzer), предназначен да идентифицира потенциални уязвимости в кода на Python. Новият анализатор е проектиран като добавка към набора от инструменти за проверка на типа погребален огън и публикуван в неговото хранилище. Код публикувани под лиценза на MIT.

Pysa предоставя анализ на потоците от данни в резултат на изпълнение на код, което ви позволява да идентифицирате много потенциални уязвимости и проблеми с поверителността, свързани с използването на данни на места, където не трябва да се показват.
Например, Pysa може да проследява използването на необработени външни данни в повиквания, които стартират външни програми, във файлови операции и в SQL конструкции.

Работата на анализатора се свежда до идентифициране на източници на данни и опасни обаждания, при които не трябва да се използват оригиналните данни. Данни от уеб заявки (например речника HttpRequest.GET в Django) се считат за източник, а извиквания като eval и os.open се считат за опасни употреби. Pysa проследява потока от данни през веригата от извиквания на функции и свързва изходните данни с потенциално опасни места в кода. Типична уязвимост, идентифицирана с помощта на Pysa, споменава проблем с отворено пренасочване (CVE-2019 19775-) в платформата за съобщения Zulip, причинено от предаване на непочистени външни параметри при изобразяване на миниатюри.

Възможностите на Pysa за проследяване на потока от данни могат Приложи за проверка на правилното използване на допълнителни рамки и за определяне на съответствие с политиката за използване на потребителски данни. Например, Pysa без допълнителни настройки може да се използва за проверка на проекти с помощта на рамки Django и Tornado. Pysa може също така да открие често срещани уязвимости в уеб приложенията, като SQL инжектиране и скриптове между сайтове (XSS).

Във Facebook анализаторът се използва за проверка на кода на услугата Instagram. През първото тримесечие на 2020 г. Pysa помогна за идентифицирането на 44% от всички проблеми, които инженерите на Facebook откриха в сървърната кодова база на Instagram.
Общо автоматизираният процес на преглед на промените на Pysa идентифицира 330 проблема, от които 49 (15%) бяха оценени като големи и 131 (40%) като несериозни. В 150 случая (45%) проблемите са класифицирани като фалшиви положителни резултати.

Източник: opennet.ru