ProHoster > Pūnaewele > nūhou pūnaewele > Ua hoʻolauna ʻo Facebook iā Pysa, kahi mea hoʻokalakupua no ka ʻōlelo Python

Ua hoʻolauna ʻo Facebook iā Pysa, kahi mea hoʻokalakupua no ka ʻōlelo Python

Facebook hoopuka wehe ʻana i ka mea hoʻoponopono paʻa ʻO Pysa (Python Static Analyzer), i hoʻolālā ʻia e ʻike i nā mea nāwaliwali i ka code Python. Hoʻolālā ʻia ka mea loiloi hou ma ke ʻano he mea hoʻohui i ka pahu hana nānā ʻano Pyre a kau ʻia ma kāna waihona. Code i paʻiʻia ma lalo o ka laikini MIT.

Hāʻawi ʻo Pysa i ka nānā ʻana i nā kahe ʻikepili ma muli o ka hoʻokō ʻana i nā code, kahi e hiki ai iā ʻoe ke ʻike i nā pilikia he nui a me nā pilikia pilikino e pili ana i ka hoʻohana ʻana i ka ʻikepili ma nā wahi i ʻike ʻole ʻia.
No ka laʻana, hiki iā Pysa ke hahai i ka hoʻohana ʻana i ka ʻikepili o waho i nā kelepona e hoʻomaka ana i nā polokalamu waho, i nā hana faila, a me nā kūkulu SQL.

Ke iho nei ka hana a ka mea kālailai i ka ʻike ʻana i nā kumu o ka ʻikepili a me nā kelepona weliweli kahi i hoʻohana ʻole ʻia ai ka ʻikepili kumu. Manaʻo ʻia nā ʻikepili mai nā noi pūnaewele (no ka laʻana, ka puke wehewehe ʻōlelo HttpRequest.GET ma Django) he kumu, a ua manaʻo ʻia nā kelepona e like me eval a me os.open he hoʻohana weliweli. Hoʻopili ʻo Pysa i ke kahe o ka ʻikepili ma o ke kaulahao o nā kelepona hana a hoʻopili i ka ʻikepili kumu me nā wahi pilikia i ke code. ʻO kahi nāwaliwali maʻamau i ʻike ʻia me ka hoʻohana ʻana iā Pysa he pilikia redirect wehe (CVE-2019-19775) ma ke kahua leka uila ʻo Zulip, ma muli o ka hele ʻana i nā ʻāpana waho haumia i ka wā e hāʻawi ai i nā kiʻi liʻiliʻi.

Hiki i ka hiki ke hoʻopaʻa i ka ʻikepili kahe o Pysa pili e hōʻoia i ka hoʻohana pono ʻana i nā frameworks hou aʻe a e hoʻoholo i ka hoʻokō ʻana i ke kulekele hoʻohana ʻikepili hoʻohana. No ka laʻana, hiki ke hoʻohana ʻia ʻo Pysa me ka ʻole o nā hoʻonohonoho hou e nānā i nā papahana me ka hoʻohana ʻana i nā frameworks Django a me Tornado. Hiki iā Pysa ke ʻike i nā nāwaliwali maʻamau i nā noi pūnaewele, e like me ka hoʻoheheʻe ʻana i ka SQL a me ke kākau ʻana i ka pae kahua (XSS).

Ma Facebook, hoʻohana ʻia ka mea loiloi e nānā i ke code o ka lawelawe Instagram. I ka hapaha mua o 2020, ua kōkua ʻo Pysa i ka ʻike ʻana i ka 44% o nā pilikia āpau i loaʻa i nā ʻenekini Facebook ma ka codebase ʻaoʻao server o Instagram.
Ma ka huina nui, ua ʻike ʻia ke kaʻina loiloi hoʻololi ʻokoʻa a Pysa he 330 pilikia, a ʻo 49 (15%) i helu ʻia ma ke ʻano nui a ʻo 131 (40%) ʻaʻole koʻikoʻi. Ma 150 mau hihia (45%) ua helu ʻia nā pilikia ma ke ʻano he hoʻopunipuni.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka