facebook iepen statyske analyzer (Python Static Analyzer), ûntworpen om potinsjele kwetsberens te identifisearjen yn Python-koade. De nije analysator is ûntworpen as in tafoeging oan 'e toolkit foar typekontrôle en pleatst yn syn repository. Koade ûnder de MIT-lisinsje.
Pysa leveret analyse fan gegevensstreamen as gefolch fan koade-útfiering, wêrtroch jo in protte potinsjele kwetsberens en privacyproblemen kinne identifisearje dy't ferbûn binne mei it brûken fan gegevens op plakken wêr't se net ferskine moatte.
Pysa kin bygelyks it gebrûk fan rau eksterne gegevens folgje yn petearen dy't eksterne programma's starte, yn bestânoperaasjes en yn SQL-konstruksjes.
It wurk fan 'e analysator komt del op it identifisearjen fan boarnen fan gegevens en gefaarlike oproppen wêryn de orizjinele gegevens net moatte wurde brûkt. Gegevens fan weboanfragen (bygelyks it HttpRequest.GET wurdboek yn Django) wurde beskôge as in boarne, en oproppen lykas eval en os.open wurde beskôge as gefaarlik gebrûk. Pysa folget de stream fan gegevens troch de keatling fan funksjeoproppen en assosjearret de boarnegegevens mei mooglik gefaarlike plakken yn 'e koade. In typyske kwetsberens identifisearre mei Pysa neamt in iepen trochferwizingsprobleem () yn it Zulip-berjochtenplatfoarm, feroarsake troch it trochjaan fan net skjinne eksterne parameters by it werjaan fan thumbnails.
Pysa's mooglikheden foar it folgjen fan gegevensstream kinne om it juste brûken fan oanfoljende kaders te ferifiearjen en te bepalen neilibjen fan it belied foar gebrûk fan brûkersgegevens. Pysa sûnder ekstra ynstellings kin bygelyks brûkt wurde om projekten te kontrolearjen mei de Django- en Tornado-kaders. Pysa kin ek mienskiplike kwetsberens identifisearje yn webapplikaasjes, lykas SQL-ynjeksje en cross-site scripting (XSS).
Op Facebook wurdt de analysator brûkt om de koade fan 'e Instagram-tsjinst te kontrolearjen. Yn it earste fearnsjier fan 2020 holp Pysa 44% fan alle problemen te identifisearjen dy't Facebook-yngenieurs fûnen yn Instagram's serverside-kodebase.
Yn totaal identifisearre Pysa's automatyske feroaringsreviewproses 330 problemen, wêrfan 49 (15%) waarden beoardiele as grut en 131 (40%) as net-swier. Yn 150 gefallen (45%) waarden de problemen klassifisearre as falsk posityf.
Boarne: opennet.ru
