Инструмент с открытым исходным кодом Facebook для поиска недостатков безопасности приложений Android

14
Приложение Photo Editor для Android ВСЕ ЕЩЕ сидит в магазине Google Play и является вредоносным ПО

Сегодня Facebook предоставил открытый исходный код инструмента статического анализа, который его инженеры по программному обеспечению и безопасности используют внутри компании, чтобы найти потенциально опасные недостатки безопасности и конфиденциальности в приложениях Android и Java компании.

Этот ориентированный на безопасность инструмент, получивший название Mariana Trench (MT), может анализировать большие кодовые базы из десятков миллионов строк кода, чтобы выявлять уязвимости до того, как они будут введены в кодовую базу.

Facebook показал, что его инженеры обнаружили более 50% всех ошибок безопасности в приложениях компании с помощью автоматизированных инструментов, подобных Mariana Trench.

Как это работает

Марианская впадина работает, анализируя информационный поток от «источников» (конфиденциальные данные пользователя, такие как пароли или местоположения) к «приемникам» (функциям или методам, использующим данные, поступающие из источников).

Mariana Trench специально разработана для автоматического обнаружения таких проблем, которые в большинстве случаев могут привести к серьезным ошибкам конфиденциальности и безопасности.

«По умолчанию Mariana Trench анализирует байт-код dalvik и может работать как с доступом к исходному коду, так и без него», — поясняет Facebook на веб-сайте документации инструмента.

«Поток от источников к приемникам указывает на то, что, например, пароли пользователей могут записываться в файл, что нежелательно и называется« проблемой »в контексте Марианской впадины», — сказал инженер-программист Facebook Доминик Габи.

Разработчики и инженеры могут использовать этот инструмент, чтобы сосредоточиться на конкретных проблемах безопасности и конфиденциальности, настраивая и обучая его, добавляя новые правила и генераторы моделей, чтобы он находился в тех областях, где конфиденциальные данные не должны попадать.

Третий инструмент анализа кода с открытым исходным кодом с 2019 года

Компания ранее выпустила два других средства анализа статического кода, предназначенных для обнаружения и предотвращения проблем безопасности для кода Python ( Pysa ) и Hack кода ( Zoncolan ).

Вы можете найти инструмент анализа кода Марианской впадины на GitHub и его собственный специальный веб-сайт, двоичный дистрибутив на PyPI и краткое руководство, которое поможет начать работу.

«Мы создали MT, чтобы сосредоточиться, в частности, на приложениях для Android. «Существуют различия в установке исправлений и обеспечении принятия обновлений кода между мобильными и веб-приложениями, поэтому они требуют разных подходов», — добавил Габи.

«В то время как серверный код для веб-приложений может быть обновлен почти мгновенно, устранение ошибки безопасности в приложении Android зависит от того, чтобы каждый пользователь своевременно обновлял приложение на своем устройстве.

«Это делает очень важным для любого разработчика приложений создание систем, которые помогают предотвратить попадание уязвимостей в мобильные версии, когда это возможно».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here