🥇Фејсбук го отвори кодот за статичкиот анализатор Mariana Trench

Facebook воведе нов статички анализатор со отворен код, Mariana Trench, чија цел е да ги идентификува пропустите во апликациите за Android и Java програмите. Можно е да се анализираат проекти без изворни кодови, за кои е достапен само бајтекод за виртуелната машина Далвик. Друга предност е неговата многу висока брзина на извршување (анализата на неколку милиони линии код трае околу 10 секунди), што ви овозможува да го користите Mariana Trench за да ги проверите сите предложени промени кога ќе пристигнат. Проектниот код е напишан во C++ и се дистрибуира под лиценцата MIT.

Анализаторот е развиен како дел од проект за автоматизирање на процесот на прегледување на изворните текстови на мобилните апликации за Facebook, Instagram и Whatsapp. Во првата половина на 2021 година, половина од сите пропусти во мобилните апликации на Facebook беа идентификувани со помош на алатки за автоматска анализа. Кодот на Mariana Trench е тесно испреплетен со други проекти на Facebook; на пример, оптимизатор на бајтекод Redex беше користен за анализа на бајтекодот, а библиотеката SPARTA беше користена за визуелно толкување и проучување на резултатите од статичката анализа.

Потенцијалните ранливости и проблемите со приватноста се идентификуваат со анализа на тековите на податоци за време на извршувањето на апликацијата за да се идентификуваат ситуации каде необработени надворешни податоци се обработуваат во опасни конструкции, како што се SQL пребарувања, операции со датотеки и повици што активираат надворешни програми.

Работата на анализаторот се сведува на идентификување извори на податоци и опасни повици во кои не треба да се користат изворните податоци - анализаторот го следи преминувањето на податоците низ синџирот на повици на функции и ги поврзува изворните податоци со потенцијално опасни места во кодот . На пример, податоците добиени преку повик до Intent.getData се смета дека бараат следење на изворот, а повиците до Log.w и Runtime.exec се сметаат за опасни употреби.

Извор: opennet.ru

Статички анализатор Маријана Тренч со отворен извор на Facebook

Додадете коментар Откажи одговор