Facebook har släppt Mariana Trench -jaktprogrammet för öppen källkod.
I veckan sa Dominik Gabi, Facebook -mjukvaruingenjör i ett blogginlägg att Mariana Trench ursprungligen var ett internt verktyg för företagets säkerhetsingenjörer men nu har släppts ut för allmänheten “för att hjälpa till att skala säkerhet genom byggautomatisering.”
Mariana Trench (MT) är ett verktyg för att hitta sårbarheter i Android och Java, med särskilt fokus på att undersöka kod i Android -applikationer. Enligt teknikjätten kan MT skanna “stora mobila kodbaser” och kommer att varna användare för potentiella säkerhetsproblem som finns i koden genom att analysera dataflödet före produktionen.
MT finjusterar dataflödet som en gemensam källa för buggar, oavsett om detta beror på felaktig dataexponering eller insamling, eller om de innehåller brister som gör det möjligt att injicera skadliga paket. MT skannar informationskällan och dess sänkor, spårar möjliga vägar och beräknar sedan modeller med hjälp av statisk analys för att leta efter fel och problem i kodbasen.
“En säkerhetsingenjör skulle börja med att i stor utsträckning definiera gränserna för dataflöden som hon är intresserad av att skanna kodbasen efter”, förklarade Facebook. “Om hon vill hitta SQL-injektioner måste hon ange var användarkontrollerad data matar in koden och vart den inte är avsedd att gå. Detta är dock bara början-att definiera en regel som förbinder de två är inte nog. Ingenjörer måste också granska de identifierade frågorna och förfina reglerna tills resultaten är tillräckligt högsignal. ”
Facebook varnar för att det här verktyget bara är ett tillägg till en säkerhetsingenjörs arsenal, och falska positiva effekter innan produktionen måste beaktas.
“Genom att använda MT på Facebook prioriterar vi att hitta fler potentiella problem, även om det innebär att visa fler falska positiva saker”, säger företaget. “Detta beror på att vi bryr oss om kantfall: dataflöden som är teoretiskt möjliga och exploaterbara men som sällan sker i produktionen.”
MT är nu tillgängligt på GitHub och en binär distribution har också släppts på PyPI. Dessutom har Facebook släppt Static Analysis Post Processor (SAPP), ett analysverktyg för analys av MT -resultat.
Tidigare och relaterad täckning
Kongressen skäller ut Facebook över de skador dess plattformar orsakar: Vad är nästa?
Facebook är AOL 2021
Facebook säger att kinesiska hackare använde sin plattform i riktade kampanjer för att infektera, övervaka användarenheter
Har du ett tips? Kontakta oss säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Datahantering CXO Datacenter 