Facebook отворени статички анализатор (Питхон Статиц Анализер), дизајниран да идентификује потенцијалне рањивости у Питхон коду. Нови анализатор је дизајниран као додатак комплету алата за проверу типа и постављено у његово складиште. Код под лиценцом МИТ-а.
Писа пружа анализу токова података као резултат извршавања кода, што вам омогућава да идентификујете многе потенцијалне рањивости и проблеме са приватношћу повезаних са коришћењем података на местима где не би требало да се појављују.
На пример, Писа може да прати употребу необрађених спољних података у позивима који покрећу спољне програме, у операцијама са датотекама и у СКЛ конструкцијама.
Рад анализатора се своди на идентификацију извора података и опасних позива у којима се оригинални подаци не смеју користити. Подаци из веб захтева (на пример, речник ХттпРекуест.ГЕТ у Дјангу) се сматрају извором, а позиви као што су евал и ос.опен се сматрају опасним употребама. Писа прати ток података кроз ланац позива функција и повезује изворне податке са потенцијално опасним местима у коду. Типична рањивост идентификована коришћењем Писа помиње отворени проблем преусмеравања () на платформи за размену порука Зулип, узроковано преношењем неочишћених спољашњих параметара приликом приказивања сличица.
Писа-ине могућности праћења тока података могу да провери исправну употребу додатних оквира и да утврди усклађеност са политиком коришћења корисничких података. На пример, Писа без додатних подешавања може да се користи за проверу пројеката користећи Дјанго и Торнадо оквире. Писа такође може да идентификује уобичајене пропусте у веб апликацијама, као што су СКЛ ињекција и скриптовање на више локација (КССС).
На Фејсбуку, анализатор се користи за проверу кода Инстаграм сервиса. У првом кварталу 2020, Писа је помогла да се идентификује 44% свих проблема које су Фацебоок инжењери пронашли у бази кодова на страни сервера Инстаграма.
Укупно, Писин аутоматизовани процес прегледа промена идентификовао је 330 проблема, од којих је 49 (15%) оцењено као веће, а 131 (40%) као неозбиљно. У 150 случајева (45%) проблеми су класификовани као лажно позитивни.
Извор: опеннет.ру
