Facebook buka analyzer statik (Python Static Analyzer), dirancang pikeun ngaidentipikasi potensi kerentanan dina kode Python. Analis anyar dirancang salaku tambihan kana toolkit mariksa jinis sarta dipasang dina gudang na. Kodeu handapeun lisénsi MIT.
Pysa nyadiakeun analisis aliran data salaku hasil tina palaksanaan kode, nu ngidinan Anjeun pikeun ngaidentipikasi loba kerentanan poténsi jeung masalah privasi pakait sareng pamakéan data di tempat nu teu kudu muncul.
Contona, Pysa tiasa ngalacak pamakean data éksternal atah dina telepon anu ngaluncurkeun program éksternal, dina operasi file, sareng dina konstruksi SQL.
Pagawean analisa asalna pikeun ngaidentipikasi sumber data sareng telepon bahaya dimana data asli henteu kedah dianggo. Data tina pamundut wéb (contona, kamus HttpRequest.GET di Django) dianggap salaku sumber, sareng telepon sapertos eval sareng os.open dianggap salaku kagunaan anu bahaya. Pysa ngalacak aliran data ngaliwatan ranté telepon fungsi sarta associates data sumber jeung tempat berpotensi bahaya dina kode. Kerentanan khas anu diidentifikasi nganggo Pysa mangrupikeun masalah alihan kabuka () dina platform olahtalatah Zulip, disababkeun ku ngalirkeun parameter éksternal najis nalika rendering gambar leutik.
kamampuhan tracking aliran data Pysa urang tiasa pikeun pariksa pamakean kerangka tambahan anu leres sareng pikeun nangtukeun patuh kana kawijakan pamakean data pangguna. Contona, Pysa tanpa setélan tambahan bisa dipaké pikeun mariksa proyék ngagunakeun kerangka Django na Tornado. Pysa ogé tiasa ngadeteksi kerentanan umum dina aplikasi wéb, sapertos suntikan SQL sareng skrip lintas situs (XSS).
Dina Facebook, analisa dianggo pikeun mariksa kodeu jasa Instagram. Dina kuartal kahiji 2020, Pysa ngabantosan ngaidentipikasi 44% tina sadaya masalah insinyur Facebook anu dipendakan dina basis kode sisi server Instagram.
Dina total, prosés tinjauan parobahan otomatis Pysa ngidentipikasi 330 masalah, anu 49 (15%) dipeunteun salaku utama sareng 131 (40%) henteu parah. Dina 150 kasus (45%) masalah digolongkeun kana positip palsu.
sumber: opennet.ru