Facebook har frigivet Mariana Trench bug -jagtsoftwaren til open source -fællesskabet.
I denne uge sagde Dominik Gabi, Facebook -softwareingeniør i et blogindlæg, at Mariana Trench oprindeligt var et internt værktøj for virksomhedens sikkerhedsingeniører, men nu er blevet frigivet til offentligheden “for at hjælpe med at skalere sikkerhed gennem bygningsautomatisering.”
Mariana Trench (MT) er et værktøj til at finde sårbarheder i Android og Java, med særlig fokus på at undersøge kode i Android -applikationer. Ifølge techgiganten er MT i stand til at scanne “store mobile kodebaser” og vil advare brugerne om potentielle sikkerhedsproblemer, der findes i koden, ved at analysere datastrømme før produktionen.
MT finpudser datastrømme som en fælles kilde til fejl, uanset om dette skyldes forkert dataeksponering eller indsamling, eller hvis de indeholder fejl, der muliggør indsprøjtning af ondsindede pakker. MT scanner informationskilden og dens dræn, sporer mulige stier og beregner derefter modeller ved hjælp af statisk analyse til at jage efter fejl og problemer i kodebasen.
“En sikkerhedsingeniør ville starte med bredt at definere grænserne for de datastrømme, hun er interesseret i at scanne kodebasen for,” forklarede Facebook. “Hvis hun vil finde SQL-injektioner, skal hun angive, hvor brugerstyrede data indtaster koden, og hvor det ikke er meningen, at det skal gå. Dette er dog kun starten-at definere en regel, der forbinder de to, er ikke nok. Ingeniører skal også gennemgå de identificerede problemer og forfine reglerne, indtil resultaterne er tilstrækkeligt høje signaler. ”
Facebook advarer om, at dette værktøj kun er en tilføjelse til et sikkerhedsingeniørs arsenal, og at der skal tages hensyn til falske positiver inden produktionen.
“Ved brug af MT på Facebook prioriterer vi at finde flere potentielle problemer, selvom det betyder at vise flere falske positive,” siger virksomheden. “Dette er fordi vi bekymrer os om edge cases: datastrømme, der er teoretisk mulige og udnyttelige, men sjældent sker i produktionen.”
MT er nu tilgængelig på GitHub, og en binær distribution er også blevet frigivet på PyPI. Derudover har Facebook frigivet Static Analysis Post Processor (SAPP), et analyseværktøj til analyse af MT -resultater.
Tidligere og relateret dækning
Kongressen skælder ud på Facebook over de skader, dens platforme forårsager: Hvad er det næste?
Facebook er AOL i 2021
Facebook siger, at kinesiske hackere brugte sin platform i målrettet kampagne at inficere, overvåge brugerenheder
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 