Facebook fungua analyzer tuli (Python Static Analyzer), iliyoundwa ili kutambua udhaifu unaowezekana katika msimbo wa Python. Kichanganuzi kipya kimeundwa kama nyongeza ya zana ya kukagua aina na kuwekwa kwenye hifadhi yake. Kanuni chini ya leseni ya MIT.
Pysa hutoa uchanganuzi wa mtiririko wa data kama matokeo ya utekelezaji wa nambari, ambayo hukuruhusu kutambua udhaifu mwingi na maswala ya faragha yanayohusiana na kutumia data mahali ambapo haifai kuonekana.
Kwa mfano, Pysa inaweza kufuatilia matumizi ya data ghafi ya nje katika simu zinazozindua programu za nje, katika uendeshaji wa faili, na katika miundo ya SQL.
Kazi ya kichanganuzi inakuja kwa kutambua vyanzo vya data na simu hatari ambazo data asili haipaswi kutumiwa. Data kutoka kwa maombi ya wavuti (kwa mfano, kamusi ya HttpRequest.GET katika Django) inachukuliwa kuwa chanzo, na simu kama vile eval na os.open huchukuliwa kuwa matumizi hatari. Pysa hufuatilia mtiririko wa data kupitia msururu wa simu za utendakazi na kuhusisha data chanzo na maeneo yanayoweza kuwa hatari katika msimbo. Udhaifu wa kawaida unaotambuliwa kwa kutumia Pysa ni shida ya uelekezaji upya wazi () katika jukwaa la ujumbe la Zulip, linalosababishwa na kupitisha vigezo vya nje vilivyo najisi wakati wa kutoa vijipicha.
Uwezo wa ufuatiliaji wa mtiririko wa data wa Pysa unaweza ili kuthibitisha utumiaji sahihi wa mifumo ya ziada na kubainisha utiifu wa sera ya matumizi ya data ya mtumiaji. Kwa mfano, Pysa bila mipangilio ya ziada inaweza kutumika kuangalia miradi kwa kutumia mifumo ya Django na Tornado. Pysa pia inaweza kugundua udhaifu wa kawaida katika programu za wavuti, kama vile sindano ya SQL na uandishi wa tovuti tofauti (XSS).
Kwenye Facebook, kichanganuzi kinatumika kuangalia nambari ya huduma ya Instagram. Katika robo ya kwanza ya 2020, Pysa ilisaidia kutambua 44% ya matatizo yote ambayo wahandisi wa Facebook walipata kwenye codebase ya upande wa seva ya Instagram.
Kwa jumla, mchakato wa ukaguzi wa mabadiliko ya kiotomatiki wa Pysa ulibainisha masuala 330, ambapo 49 (15%) yalikadiriwa kuwa makubwa na 131 (40%) kama yasiyo makali. Katika kesi 150 (45%) matatizo yaliwekwa kama chanya za uwongo.
Chanzo: opennet.ru