Facebook har lansert programvaren Mariana Trench bug hunting for open source -samfunnet.
Denne uken sa Dominik Gabi, Facebook -programvareingeniør i et blogginnlegg at Mariana Trench opprinnelig var et internt verktøy for selskapets sikkerhetsingeniører, men har nå blitt frigitt for publikum “for å hjelpe til med å skalere sikkerhet gjennom bygningsautomatisering.”
Mariana Trench (MT) er et verktøy for å finne sårbarheter i Android og Java, med særlig fokus på å undersøke kode i Android -applikasjoner. Ifølge teknologigiganten er MT i stand til å skanne “store mobile kodebaser” og vil varsle brukerne om potensielle sikkerhetsproblemer som finnes i koden ved å analysere datastrømmer før produksjonen.
MT finjusterer datastrømmer som en vanlig kilde for feil, enten dette skyldes feil dataeksponering eller innsamling, eller hvis de inneholder feil som tillater injeksjon av ondsinnede pakker. MT skanner informasjonskilden og dens synker, sporer mulige stier og beregner deretter modeller ved hjelp av statisk analyse for å jakte på feil og problemer i kodebasen.
“En sikkerhetsingeniør ville begynne med å bredt definere grensene for datastrømmene hun er interessert i å skanne kodebasen for,” forklarte Facebook. “Hvis hun vil finne SQL-injeksjoner, må hun spesifisere hvor brukerstyrte data legger inn koden, og hvor den ikke er ment å gå. Dette er imidlertid bare starten-å definere en regel som forbinder de to er ikke Ingeniører må også gå gjennom de identifiserte problemene og finpusse reglene til resultatene er tilstrekkelig høye. ”
Facebook advarer om at dette verktøyet bare er et tillegg til et sikkerhetsingeniørs arsenal, og at falske positiver før produksjonen må vurderes.
“Ved å bruke MT på Facebook prioriterer vi å finne flere potensielle problemer, selv om det betyr å vise flere falske positive,” sier selskapet. “Dette er fordi vi bryr oss om edge cases: datastrømmer som er teoretisk mulige og utnyttbare, men som sjelden skjer i produksjonen.”
MT er nå tilgjengelig på GitHub, og en binær distribusjon er også utgitt på PyPI. I tillegg har Facebook gitt ut Statisk analyse etter prosessor (SAPP), et analyseverktøy for å analysere MT -resultater.
Tidligere og relatert dekning
Kongressen skjeller ut Facebook over skadene plattformene forårsaker: Hva er det neste?
Facebook er AOL for 2021
Facebook sier kinesiske hackere brukte plattformen sin i målrettet kampanje å infisere, overvåke brukerenheter
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 