Facebook ha rilasciato il software di ricerca dei bug Mariana Trench alla comunità open source.
Questa settimana, Dominik Gabi, ingegnere del software di Facebook, ha dichiarato in un post sul blog che Mariana Trench era originariamente uno strumento interno per gli ingegneri della sicurezza dell'azienda, ma ora è stato rilasciato al pubblico “per aiutare a scalare la sicurezza attraverso l'automazione degli edifici”.
Mariana Trench (MT) è uno strumento per la ricerca di vulnerabilità in Android e Java, con particolare attenzione all'esame del codice nelle applicazioni Android. Secondo il gigante della tecnologia, MT è in grado di scansionare “grandi basi di codici mobili” e avviserà gli utenti di potenziali problemi di sicurezza rilevati nel codice analizzando i flussi di dati prima della produzione.
MT si concentra sui flussi di dati come fonte comune di bug, sia che ciò sia dovuto a un'esposizione o raccolta di dati errata o che contengano difetti che consentono l'iniezione di pacchetti dannosi. MT esegue la scansione della fonte delle informazioni e dei relativi sink, tracciando i possibili percorsi e quindi calcolerà i modelli utilizzando l'analisi statica per cercare errori e problemi nella base di codice.
“Un ingegnere della sicurezza comincerebbe definendo ampiamente i confini dei flussi di dati per i quali è interessata a scansionare la base di codice”, ha spiegato Facebook. “Se vuole trovare le iniezioni SQL, dovrebbe specificare dove i dati controllati dall'utente stanno inserendo il codice e dove non dovrebbero andare. Tuttavia, questo è solo l'inizio: definire una regola che collega i due non è abbastanza. Gli ingegneri devono anche rivedere i problemi identificati e perfezionare le regole fino a quando i risultati non sono sufficientemente ad alto segnale.”
Facebook avverte che questo strumento è solo un'aggiunta all'arsenale di un ingegnere della sicurezza e che è necessario considerare i falsi positivi prima della produzione.
“Utilizzando la traduzione automatica su Facebook, diamo la priorità alla ricerca di più potenziali problemi, anche se ciò significa mostrare più falsi positivi”, afferma l'azienda. “Questo perché ci preoccupiamo dei casi limite: flussi di dati che sono teoricamente possibili e sfruttabili ma che si verificano raramente in produzione”.
MT è ora disponibile su GitHub ed è stata rilasciata anche una distribuzione binaria su PyPI. Inoltre, Facebook ha rilasciato lo Static Analysis Post Processor (SAPP), uno strumento di analisi per l'analisi dei risultati MT.
Copertura precedente e correlata
Il Congresso rimprovera Facebook per i danni causati dalle sue piattaforme: quali sono le prospettive?
Facebook è l'AOL del 2021
Facebook afferma che gli hacker cinesi hanno utilizzato la sua piattaforma in una campagna mirata per infettare, sorvegliare i dispositivi degli utenti
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 