Facebook heeft de Mariana Trench-software voor het opsporen van bugs vrijgegeven aan de open source-gemeenschap.
Deze week zei Dominik Gabi, Facebook-software-engineer in een blogpost dat Mariana Trench oorspronkelijk een interne tool was voor de beveiligingsingenieurs van het bedrijf, maar nu is vrijgegeven voor het publiek “om de beveiliging te helpen schalen door middel van gebouwautomatisering”.
Mariana Trench (MT) is een tool voor het vinden van kwetsbaarheden in Android en Java, met een bijzondere focus op het onderzoeken van code in Android-applicaties. Volgens de technologiegigant is MT in staat om “grote mobiele codebases” te scannen en gebruikers te waarschuwen voor mogelijke beveiligingsproblemen die in de code worden aangetroffen door gegevensstromen voorafgaand aan productie te analyseren.
MT richt zich op datastromen als een veelvoorkomende bron voor bugs, of dit nu te wijten is aan onjuiste gegevensblootstelling of verzameling, of als ze fouten bevatten die de injectie van kwaadaardige pakketten mogelijk maken. MT scant de informatiebron en zijn putten, volgt mogelijke paden en berekent vervolgens modellen met behulp van statische analyse om te zoeken naar fouten en problemen in de codebase.
“Een beveiligingsingenieur zou beginnen met het in grote lijnen definiëren van de grenzen van de gegevensstromen waarvoor ze de codebase wil scannen”, legt Facebook uit. “Als ze SQL-injecties wil vinden, moet ze specificeren waar door de gebruiker gecontroleerde gegevens de code invoeren, en waar het niet moet gaan. Dit is echter slechts het begin – het definiëren van een regel die de twee verbindt, is niet genoeg. Ingenieurs moeten ook de geïdentificeerde problemen beoordelen en de regels verfijnen totdat de resultaten voldoende hoog zijn.”
Facebook waarschuwt dat deze tool slechts één toevoeging is aan het arsenaal van een beveiligingsingenieur en dat er voorafgaand aan de productie rekening moet worden gehouden met valse positieven.
“Bij het gebruik van MT op Facebook geven we prioriteit aan het vinden van meer potentiële problemen, zelfs als dit betekent dat er meer valse positieven worden getoond”, zegt het bedrijf. “Dit komt omdat we om edge-cases geven: datastromen die theoretisch mogelijk en exploiteerbaar zijn, maar zelden voorkomen in productie.”
MT is nu beschikbaar op GitHub en er is ook een binaire distributie uitgebracht op PyPI. Daarnaast heeft Facebook de Static Analysis Post Processor (SAPP) uitgebracht, een analysetool voor het analyseren van MT-resultaten.
Eerdere en gerelateerde berichtgeving
Congres scheldt Facebook uit over de schade die zijn platforms veroorzaken: wat nu?
Facebook is de AOL van 2021
Facebook zegt dat Chinese hackers zijn platform hebben gebruikt in gerichte campagnes om gebruikersapparaten te infecteren, te bewaken
Heeft u een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 