Facebook analîzatorek statîk a vekirî ya nû, Mariana Trench, destnîşan kir, ku armanc ew e ku qelsiyên di serîlêdanan de ji bo platforma Android û bernameyên Java nas bike. Mimkun e ku hûn projeyan bêyî kodên çavkaniyê analîz bikin, ji bo ku tenê bytecode ji bo makîneya virtual Dalvik heye. Avantajek din leza darvekirina wê ya pir bilind e (analîzkirina çend mîlyon rêzikên kodê bi qasî 10 çirkeyan digire), ku dihêle hûn Mariana Trench bikar bînin da ku gava ku ew digihîjin hemî guhertinên pêşniyarkirî kontrol bikin. Koda projeyê bi C++ hatiye nivîsandin û di bin lîsansa MITê de tê belavkirin.
Analîzator wekî beşek projeyek hate pêşve xistin da ku pêvajoya vekolîna çavkaniyê ya serîlêdanên mobîl ji bo Facebook, Instagram û Whatsapp-ê bixweber bike. Di nîvê yekem a 2021-an de, nîvê hemî qelsiyên di serîlêdanên mobîl ên Facebook-ê de bi karanîna amûrên analîzê yên otomatîkî hatine nas kirin. Koda Mariana Trench ji nêz ve bi projeyên din ên Facebook-ê re têkildar e; Mînakî, optimîzatora bytecode Redex ji bo parkirina bytecode hate bikar anîn, û pirtûkxaneya SPARTA ji bo şîrovekirina dîtbarî û lêkolîna encamên analîza statîk hate bikar anîn.
Qelsiyên potansiyel û pirsgirêkên nepenîtiyê bi analîzkirina herikîna daneyê di dema pêkanîna serîlêdanê de têne nas kirin da ku rewşên ku daneya derve ya xav di avahîyên xeternak de têne hilberandin, wekî pirsên SQL, operasyonên pelan, û bangên ku bernameyên derveyî destnîşan dikin têne nas kirin.
Karê analîstê bi nasandina çavkaniyên daneyan û bangên xeternak ên ku divê daneyên çavkaniyê neyên bikar anîn tê - analîzer derbasbûna daneyan di nav zincîra bangên fonksiyonê de dişopîne û daneyên çavkaniyê bi cihên potansiyel xeternak ên kodê ve girêdide. . Mînakî, daneyên ku bi bangek ji Intent.getData re têne wergirtin wekî hewceyê şopandina çavkaniyê tê hesibandin, û bangên Log.w û Runtime.exec wekî karanîna xeternak têne hesibandin.
Source: opennet.ru