Facebook oppen statesch Analysator (Python Static Analyzer), entwéckelt fir potenziell Schwachstelle am Python Code z'identifizéieren. Den neien Analysator ass entworf als Add-on zum Typprüfungs-Toolkit an a sengem Repository gepost. Code ënner der MIT Lizenz.
Pysa stellt Analyse vun Datefloss als Resultat vu Code Ausféierung, wat Iech erlaabt vill potenziell Schwachstelle a Privatsphärprobleemer z'identifizéieren, déi mat der Benotzung vun Daten op Plazen verbonne sinn, wou se net sollten optrieden.
Zum Beispill kann Pysa d'Benotzung vu rau externen Donnéeën an Uruff verfollegen déi extern Programmer starten, an Dateioperatiounen an an SQL Konstruktiounen.
D'Aarbecht vum Analysator geet erof op d'Identifikatioun vun Datenquellen a geféierlechen Uruff, an deenen d'Originaldaten net sollte benotzt ginn. Daten aus Web-Ufroen (zum Beispill den HttpRequest.GET Wierderbuch am Django) ginn als Quell ugesinn, an Uriff wéi eval an os.open ginn als geféierlech Benotzung ugesinn. Pysa verfollegt de Flux vun Daten duerch d'Kette vun Funktioun Appellen an assoziéiert d'Quelldaten mat potenziell geféierlech Plazen am Code. Eng typesch Schwachstelle identifizéiert mat Pysa ass en oppene Viruleedungsproblem () an der Zulip Messagerie Plattform, verursaacht duerch Passage vun ongereinegten externen Parameteren beim Rendering vun Miniatyren.
Pysa Daten Flux Tracking Fäegkeeten kënnen fir déi richteg Notzung vun zousätzleche Kaderen z'iwwerpréiwen an d'Konformitéit mat der Benotzerdatenverbrauchspolitik ze bestëmmen. Zum Beispill, Pysa ouni zousätzlech Astellunge kënne benotzt ginn fir Projete mat den Django an Tornado Kaderen ze kontrolléieren. Pysa kann och allgemeng Schwachstelle bei Webapplikatiounen entdecken, sou wéi SQL Injektioun a Cross-Site Scripting (XSS).
Op Facebook gëtt den Analyser benotzt fir de Code vum Instagram Service ze kontrolléieren. Am éischte Véierel vun 2020 huet Pysa gehollef 44% vun alle Probleemer ze identifizéieren déi Facebook Ingenieuren an der Instagram Server-Säit Codebase fonnt hunn.
Am Ganzen huet de Pysa automatiséierte Changement review Prozess 330 Themen identifizéiert, vun deenen 49 (15%) als grouss bewäert goufen an 131 (40%) als net schwéier. An 150 Fäll (45%) goufen d'Problemer als falsch Positiv klasséiert.
Source: opennet.ru