ඇන්ඩ්රොයිඩ් වේදිකාව සහ ජාවා වැඩසටහන් සඳහා වන යෙදුම්වල දුර්වලතා හඳුනාගැනීමේ අරමුණින් ෆේස්බුක් විසින් නව විවෘත ස්ථිතික විශ්ලේෂකයක් වන මරියානා ට්රන්ච් හඳුන්වා දෙන ලදී. මූලාශ්ර කේත නොමැතිව ව්යාපෘති විශ්ලේෂණය කළ හැකි අතර, ඒ සඳහා ඩල්වික් අථත්ය යන්ත්රය සඳහා බයිට්කේත පමණක් පවතී. තවත් වාසියක් වන්නේ එහි ඉතා ඉහළ ක්රියාත්මක වීමේ වේගයයි (කේත රේඛා මිලියන කිහිපයක විශ්ලේෂණය තත්පර 10 ක් පමණ ගත වේ), එමඟින් යෝජිත සියලුම වෙනස්කම් ඔවුන් පැමිණෙන විට පරීක්ෂා කිරීමට ඔබට මරියානා අගල භාවිතා කිරීමට ඉඩ සලසයි. ව්යාපෘති කේතය C++ වලින් ලියා ඇති අතර MIT බලපත්රය යටතේ බෙදා හරිනු ලැබේ.
ෆේස්බුක්, ඉන්ස්ටග්රෑම් සහ වට්ස්ඇප් සඳහා ජංගම යෙදුම්වල මූලාශ්ර පෙළ සමාලෝචනය කිරීමේ ක්රියාවලිය ස්වයංක්රීය කිරීමේ ව්යාපෘතියක කොටසක් ලෙස විශ්ලේෂකය සංවර්ධනය කරන ලදී. 2021 පළමු භාගයේදී, Facebook ජංගම යෙදුම්වල ඇති සියලුම දුර්වලතාවලින් අඩක් ස්වයංක්රීය විශ්ලේෂණ මෙවලම් භාවිතයෙන් හඳුනා ගන්නා ලදී. Mariana Trench කේතය අනෙකුත් Facebook ව්යාපෘති සමඟ සමීපව බැඳී ඇත; උදාහරණයක් ලෙස, බයිට්කේත විග්රහ කිරීමට Redex bytecode optimizer භාවිතා කරන ලද අතර, ස්ථිතික විශ්ලේෂණයේ ප්රතිඵල දෘශ්ය ලෙස අර්ථ නිරූපණය කිරීමට සහ අධ්යයනය කිරීමට SPARTA පුස්තකාලය භාවිතා කරන ලදී.
SQL විමසුම්, ගොනු මෙහෙයුම් සහ බාහිර වැඩසටහන් අවුලුවාලන ඇමතුම් වැනි භයානක නිර්මිතයන්හිදී අමු බාහිර දත්ත සැකසෙන අවස්ථා හඳුනා ගැනීමට යෙදුම් ක්රියාත්මක කිරීමේදී දත්ත ප්රවාහයන් විශ්ලේෂණය කිරීමෙන් විභව දුර්වලතා සහ රහස්යතා ගැටලු හඳුනා ගැනේ.
විශ්ලේෂකයේ කාර්යය දත්ත මූලාශ්ර හඳුනා ගැනීම සහ මූලාශ්ර දත්ත භාවිතා නොකළ යුතු අනතුරුදායක ඇමතුම් දක්වා පැමිණේ - විශ්ලේෂකය ශ්රිත ඇමතුම් දාමය හරහා දත්ත ගමන් කිරීම නිරීක්ෂණය කරන අතර කේතයේ අනතුරුදායක ස්ථාන සමඟ මූලාශ්ර දත්ත සම්බන්ධ කරයි. . උදාහරණයක් ලෙස, Intent.getData වෙත ඇමතුමක් හරහා ලැබෙන දත්ත මූලාශ්ර ලුහුබැඳීම අවශ්ය යැයි සලකනු ලබන අතර, Log.w සහ Runtime.exec වෙත ඇමතුම් අනතුරුදායක භාවිතයන් ලෙස සැලකේ.
මූලාශ්රය: opennet.ru