پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > فیس بک نے Pysa متعارف کرایا، جو ازگر کی زبان کے لیے ایک جامد تجزیہ کار ہے۔

فیس بک نے Pysa متعارف کرایا، جو ازگر کی زبان کے لیے ایک جامد تجزیہ کار ہے۔

فیس بک متعارف کرایا جامد تجزیہ کار کھولیں۔ پیسہ (Python Static Analyzer)، Python کوڈ میں ممکنہ خطرات کی نشاندہی کرنے کے لیے ڈیزائن کیا گیا ہے۔ نئے تجزیہ کار کو ٹائپ چیکنگ ٹول کٹ میں اضافے کے طور پر ڈیزائن کیا گیا ہے۔ چتا اور اس کے ذخیرے میں پوسٹ کیا۔ کوڈ شائع MIT لائسنس کے تحت.

Pysa کوڈ کے نفاذ کے نتیجے میں ڈیٹا کے بہاؤ کا تجزیہ فراہم کرتا ہے، جو آپ کو ان جگہوں پر ڈیٹا کے استعمال سے منسلک بہت سے ممکنہ خطرات اور رازداری کے مسائل کی نشاندہی کرنے کی اجازت دیتا ہے جہاں اسے ظاہر نہیں ہونا چاہیے۔
مثال کے طور پر، Pysa ان کالوں میں خام بیرونی ڈیٹا کے استعمال کو ٹریک کر سکتا ہے جو بیرونی پروگراموں کو شروع کرتی ہیں، فائل آپریشنز میں، اور SQL تعمیرات میں۔

تجزیہ کار کا کام ڈیٹا کے ذرائع اور خطرناک کالوں کی نشاندہی کرنا ہے جس میں اصل ڈیٹا استعمال نہیں کیا جانا چاہیے۔ ویب درخواستوں سے ڈیٹا (مثال کے طور پر، Django میں HttpRequest.GET ڈکشنری) کو ایک ذریعہ سمجھا جاتا ہے، اور eval اور os.open جیسی کالوں کو خطرناک استعمال سمجھا جاتا ہے۔ Pysa فنکشن کالز کے سلسلے کے ذریعے ڈیٹا کے بہاؤ کو ٹریک کرتا ہے اور کوڈ میں ممکنہ طور پر خطرناک جگہوں کے ساتھ سورس ڈیٹا کو جوڑتا ہے۔ Pysa کے استعمال سے شناخت کی گئی ایک عام کمزوری ایک کھلا ری ڈائریکٹ مسئلہ ہے (CVE-2019-19775) Zulip میسجنگ پلیٹ فارم میں، تھمب نیلز پیش کرتے وقت ناپاک بیرونی پیرامیٹرز کو گزرنے کی وجہ سے۔

Pysa کی ڈیٹا فلو ٹریکنگ کی صلاحیتیں کر سکتی ہیں۔ درخواست دیں اضافی فریم ورک کے درست استعمال کی تصدیق کرنے اور صارف کے ڈیٹا کے استعمال کی پالیسی کے ساتھ تعمیل کا تعین کرنے کے لیے۔ مثال کے طور پر، Pysa بغیر اضافی ترتیبات کے Django اور Tornado کے فریم ورک کا استعمال کرتے ہوئے پروجیکٹس کو چیک کرنے کے لیے استعمال کیا جا سکتا ہے۔ Pysa ویب ایپلیکیشنز، جیسے SQL انجیکشن اور کراس سائٹ اسکرپٹنگ (XSS) میں عام کمزوریوں کا بھی پتہ لگا سکتا ہے۔

فیس بک پر، تجزیہ کار انسٹاگرام سروس کے کوڈ کو چیک کرنے کے لیے استعمال کیا جاتا ہے۔ 2020 کی پہلی سہ ماہی میں، Pysa نے فیس بک کے انجینئرز کو انسٹاگرام کے سرور سائیڈ کوڈ بیس میں پائے جانے والے تمام مسائل میں سے 44% کی نشاندہی کرنے میں مدد کی۔
مجموعی طور پر، Pysa کے خودکار تبدیلی کے جائزے کے عمل نے 330 مسائل کی نشاندہی کی، جن میں سے 49 (15%) کو اہم اور 131 (40%) کو غیر شدید قرار دیا گیا۔ 150 معاملات میں (45%) مسائل کو غلط مثبت کے طور پر درجہ بندی کیا گیا تھا۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں