ڪريو کليل جامد تجزيه ڪندڙ (Python Static Analyzer)، Python ڪوڊ ۾ امڪاني ڪمزورين کي سڃاڻڻ لاءِ ٺهيل آهي. نئين تجزيي کي ٽائپ چيڪنگ ٽول ڪٽ ۾ اضافو جي طور تي ٺاهيو ويو آهي ۽ سندس مخزن ۾ پوسٽ ڪيو. ڪوڊ MIT لائسنس تحت.
Pysa ڪوڊ جي عمل جي نتيجي ۾ ڊيٽا جي وهڪري جو تجزيو مهيا ڪري ٿو، جيڪو توهان کي انهن هنڌن تي ڊيٽا استعمال ڪرڻ سان لاڳاپيل ڪيترن ئي امڪاني نقصانن ۽ رازداري مسئلن جي نشاندهي ڪرڻ جي اجازت ڏئي ٿو جتي اهو ظاهر نه ٿيڻ گهرجي.
مثال طور، Pysa خام خارجي ڊيٽا جي استعمال کي ٽريڪ ڪري سگھي ٿو ڪالن ۾ جيڪي خارجي پروگرام شروع ڪن ٿا، فائل آپريشنز ۾، ۽ SQL تعميرات ۾.
تجزيه نگار جو ڪم ڊيٽا جي ذريعن ۽ خطرناڪ ڪالن جي نشاندهي ڪرڻ آهي جنهن ۾ اصل ڊيٽا استعمال نه ٿيڻ گهرجي. ويب درخواستن مان ڊيٽا (مثال طور، Django ۾ HttpRequest.GET ڊڪشنري) هڪ ذريعو سمجهيا وڃن ٿا، ۽ ڪالون جهڙوڪ eval ۽ os.open کي خطرناڪ استعمال سمجهيو وڃي ٿو. Pysa فنڪشن ڪالن جي زنجير ذريعي ڊيٽا جي وهڪري کي ٽريڪ ڪري ٿو ۽ ڪوڊ ۾ ممڪن طور تي خطرناڪ هنڌن سان ماخذ ڊيٽا سان لاڳاپيل آهي. Pysa استعمال ڪندي هڪ عام ڪمزوري جي نشاندهي ڪئي وئي آهي هڪ کليل ريڊائريڪٽ مسئلو () زولپ ميسيجنگ پليٽ فارم ۾، ٿمب نيل رينجر ڪرڻ وقت غير صاف ٿيل خارجي پيرا ميٽرز پاس ڪرڻ سبب.
Pysa جي ڊيٽا فلو ٽريڪنگ صلاحيتون ڪري سگهن ٿيون اضافي فريم ورڪ جي صحيح استعمال جي تصديق ڪرڻ ۽ صارف ڊيٽا استعمال جي پاليسي جي تعميل کي طئي ڪرڻ لاءِ. مثال طور، Pysa بغير اضافي سيٽنگون استعمال ڪري سگھن ٿيون پروجيڪٽ چيڪ ڪرڻ لاءِ Django ۽ Tornado فريم ورڪ استعمال ڪندي. Pysa پڻ ويب ايپليڪيشنن ۾ عام ڪمزورين کي ڳولي سگھي ٿو، جهڙوڪ SQL انجيڪشن ۽ ڪراس سائيٽ اسڪرپٽنگ (XSS).
Facebook تي، تجزيو ڪندڙ انسٽاگرام سروس جو ڪوڊ چيڪ ڪرڻ لاءِ استعمال ڪيو ويندو آھي. 2020 جي پهرين ٽه ماهي ۾، Pysa سڀني مسئلن جي 44٪ کي سڃاڻڻ ۾ مدد ڪئي جيڪا فيس بوڪ انجنيئرز کي انسٽاگرام جي سرور سائڊ ڪوڊ بيس ۾ مليا.
مجموعي طور تي، Pysa جي خودڪار تبديلي جي نظرثاني جي عمل ۾ 330 مسئلن جي نشاندهي ڪئي وئي، جن مان 49 (15٪) کي وڏي ۽ 131 (40٪) کي غير سخت قرار ڏنو ويو. 150 ڪيسن ۾ (45٪) مسئلا غلط مثبت طور تي درجه بندي ڪيا ويا.
جو ذريعو: opennet.ru