Facebook buksan ang static analyzer (Python Static Analyzer), na idinisenyo upang matukoy ang mga potensyal na kahinaan sa Python code. Ang bagong analyzer ay idinisenyo bilang isang add-on sa toolkit ng pagsuri ng uri at nai-post sa kanyang repository. Code sa ilalim ng lisensya ng MIT.
Nagbibigay ang Pysa ng pagsusuri ng mga daloy ng data bilang resulta ng pagpapatupad ng code, na nagbibigay-daan sa iyong tukuyin ang maraming potensyal na kahinaan at isyu sa privacy na nauugnay sa paggamit ng data sa mga lugar kung saan hindi ito dapat lumabas.
Halimbawa, masusubaybayan ng Pysa ang paggamit ng raw na panlabas na data sa mga tawag na naglulunsad ng mga panlabas na programa, sa mga pagpapatakbo ng file, at sa mga SQL construct.
Ang gawain ng analyzer ay bumaba sa pagtukoy ng mga pinagmumulan ng data at mga mapanganib na tawag kung saan hindi dapat gamitin ang orihinal na data. Ang data mula sa mga kahilingan sa web (halimbawa, ang diksyunaryo ng HttpRequest.GET sa Django) ay itinuturing na pinagmulan, at ang mga tawag tulad ng eval at os.open ay itinuturing na mga mapanganib na paggamit. Sinusubaybayan ng Pysa ang daloy ng data sa pamamagitan ng chain ng mga function call at iniuugnay ang source data sa mga potensyal na mapanganib na lugar sa code. Ang isang karaniwang kahinaan na natukoy gamit ang Pysa ay isang bukas na problema sa pag-redirect () sa platform ng pagmemensahe ng Zulip, dulot ng pagpasa ng hindi malinis na mga panlabas na parameter kapag nagre-render ng mga thumbnail.
Ang mga kakayahan sa pagsubaybay sa daloy ng data ng Pysa ay maaari upang i-verify ang tamang paggamit ng mga karagdagang framework at upang matukoy ang pagsunod sa patakaran sa paggamit ng data ng user. Halimbawa, ang Pysa na walang karagdagang mga setting ay maaaring gamitin upang suriin ang mga proyekto gamit ang Django at Tornado frameworks. Maaari ding makita ng Pysa ang mga karaniwang kahinaan sa mga web application, tulad ng SQL injection at cross-site scripting (XSS).
Sa Facebook, ginagamit ang analyzer upang suriin ang code ng serbisyo ng Instagram. Sa unang quarter ng 2020, tumulong si Pysa na matukoy ang 44% ng lahat ng mga problemang natagpuan ng mga inhinyero ng Facebook sa server-side codebase ng Instagram.
Sa kabuuan, natukoy ng proseso ng awtomatikong pagsusuri sa pagbabago ng Pysa ang 330 na isyu, kung saan 49 (15%) ang na-rate bilang major at 131 (40%) bilang hindi malala. Sa 150 kaso (45%) ang mga problema ay inuri bilang mga maling positibo.
Pinagmulan: opennet.ru
