Facebook Android платформасы жана Java программалары үчүн тиркемелердеги кемчиликтерди аныктоого багытталган Mariana Trench аттуу жаңы ачык статикалык анализаторду сунуштады. Далвик виртуалдык машинасынын байткоду гана жеткиликтүү болгон долбоорлорду баштапкы коддору жок талдоо мүмкүн. Дагы бир артыкчылыгы анын өтө жогорку ылдамдыгы (коддун бир нече миллион саптарын талдоо болжол менен 10 секундду талап кылат), ал сиз Мариана транчын колдонуу менен сунушталган өзгөртүүлөрдү алар келгенде текшерүүгө мүмкүндүк берет. Долбоордун коду C++ тилинде жазылган жана MIT лицензиясы боюнча таратылат.
Анализатор Facebook, Instagram жана Whatsapp үчүн мобилдик тиркемелердин баштапкы тексттерин карап чыгуу процессин автоматташтыруу долбоорунун алкагында иштелип чыккан. 2021-жылдын биринчи жарымында Facebook мобилдик тиркемелериндеги бардык аялуулардын жарымы автоматташтырылган талдоо куралдарынын жардамы менен аныкталган. Mariana Trench коду Facebookтун башка долбоорлору менен тыгыз байланышта; мисалы, Redex байт кодунун оптимизатору байт кодду талдоо үчүн, ал эми SPARTA китепканасы статикалык анализдин натыйжаларын визуалдык чечмелөө жана изилдөө үчүн колдонулган.
Потенциалдуу алсыздыктар жана купуялык маселелери SQL сурамдары, файл операциялары жана тышкы программаларды ишке киргизген чалуулар сыяктуу кооптуу конструкцияларда чийки тышкы маалыматтар иштетилген кырдаалдарды аныктоо үчүн тиркемени аткаруу учурунда маалымат агымын талдоо аркылуу аныкталат.
Анализатордун иши маалымат булактарын жана кооптуу чакырыктарды аныктоого туура келет, мында булак маалыматтары колдонулбашы керек - анализатор функциялык чакыруулар тизмеги аркылуу маалыматтардын өтүшүн көзөмөлдөйт жана коддогу кооптуу жерлер менен баштапкы маалыматтарды байланыштырат. . Мисалы, Intent.getData чалуу аркылуу алынган маалыматтар булакка көз салууну талап кылат, ал эми Log.w жана Runtime.exec чалуулары кооптуу колдонуу болуп эсептелет.
Source: opennet.ru