Mae Facebook wedi cyflwyno dadansoddwr statig ffynhonnell agored newydd, Mariana Trench, gyda'r nod o nodi gwendidau mewn cymwysiadau Android a rhaglenni Java. Mae'n bosibl dadansoddi prosiectau heb godau ffynhonnell, a dim ond bytecode ar gyfer y peiriant rhithwir Dalvik sydd ar gael ar eu cyfer. Mantais arall yw ei gyflymder gweithredu uchel iawn (mae dadansoddiad o sawl miliwn o linellau cod yn cymryd tua 10 eiliad), sy'n eich galluogi i ddefnyddio Mariana Trench i wirio'r holl newidiadau arfaethedig wrth iddynt gyrraedd. Mae cod y prosiect wedi'i ysgrifennu yn C ++ ac yn cael ei ddosbarthu o dan y drwydded MIT.
Datblygwyd y dadansoddwr fel rhan o brosiect i awtomeiddio'r broses o adolygu testunau ffynhonnell cymwysiadau symudol ar gyfer Facebook, Instagram a Whatsapp. Yn ystod hanner cyntaf 2021, nodwyd hanner yr holl wendidau mewn cymwysiadau symudol Facebook gan ddefnyddio offer dadansoddi awtomataidd. Mae cod Ffos Mariana wedi'i gydblethu'n agos Γ’ phrosiectau Facebook eraill; er enghraifft, defnyddiwyd yr optimeiddiwr bytecode Redex i ddosrannu'r cod beit, a defnyddiwyd llyfrgell SPARTA i ddehongli ac astudio canlyniadau dadansoddiad statig yn weledol.
Mae gwendidau posibl a materion preifatrwydd yn cael eu nodi trwy ddadansoddi llif data yn ystod gweithredu cymwysiadau i nodi sefyllfaoedd lle mae data allanol crai yn cael ei brosesu mewn lluniadau peryglus, megis ymholiadau SQL, gweithrediadau ffeiliau, a galwadau sy'n sbarduno rhaglenni allanol.
Mae gwaith y dadansoddwr yn ymwneud Γ’ nodi ffynonellau data a galwadau peryglus lle na ddylid defnyddio'r data ffynhonnell - mae'r dadansoddwr yn olrhain taith data trwy'r gadwyn o alwadau swyddogaeth ac yn cysylltu'r data ffynhonnell Γ’ lleoedd a allai fod yn beryglus yn y cod . Er enghraifft, ystyrir bod angen olrhain ffynhonnell ddata a dderbynnir trwy alwad i Intent.getData, ac mae galwadau i Log.w a Runtime.exec yn cael eu hystyried yn ddefnyddiau peryglus.
Ffynhonnell: opennet.ru