Facebook
Pysa stellt Analyse vun Datefloss als Resultat vu Code Ausféierung, wat Iech erlaabt vill potenziell Schwachstelle a Privatsphärprobleemer z'identifizéieren, déi mat der Benotzung vun Daten op Plazen verbonne sinn, wou se net sollten optrieden.
Zum Beispill kann Pysa d'Benotzung vu rau externen Donnéeën an Uruff verfollegen déi extern Programmer starten, an Dateioperatiounen an an SQL Konstruktiounen.
D'Aarbecht vum Analysator geet erof op d'Identifikatioun vun Datenquellen a geféierlechen Uruff, an deenen d'Originaldaten net sollte benotzt ginn. Daten aus Web-Ufroen (zum Beispill den HttpRequest.GET Wierderbuch am Django) ginn als Quell ugesinn, an Uriff wéi eval an os.open ginn als geféierlech Benotzung ugesinn. Pysa verfollegt de Flux vun Daten duerch d'Kette vun Funktioun Appellen an assoziéiert d'Quelldaten mat potenziell geféierlech Plazen am Code. Eng typesch Schwachstelle identifizéiert mat Pysa ass en oppene Viruleedungsproblem (
Pysa Daten Flux Tracking Fäegkeeten kënnen
Op Facebook gëtt den Analyser benotzt fir de Code vum Instagram Service ze kontrolléieren. Am éischte Véierel vun 2020 huet Pysa gehollef 44% vun alle Probleemer ze identifizéieren déi Facebook Ingenieuren an der Instagram Server-Säit Codebase fonnt hunn.
Am Ganzen huet de Pysa automatiséierte Changement review Prozess 330 Themen identifizéiert, vun deenen 49 (15%) als grouss bewäert goufen an 131 (40%) als net schwéier. An 150 Fäll (45%) goufen d'Problemer als falsch Positiv klasséiert.
Source: opennet.ru