Facebook открыл код статического анализатора Mariana Trench
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Facebook представил новый открытый статический анализатор Mariana Trench, нацеленный на выявление уязвимостей в приложениях для платформы Android и программах на языке Java. Предоставляется возможность анализа проектов без исходных текстов, для которых доступен только байткод для виртуальной машины Dalvik. Из достоинств также выделяется очень высокая скорость выполнения (анализ нескольких миллионов строк кода занимает около 10 секунд), что позволяет примять
Mariana Trench для проверки всех предлагаемых изменений по мере их поступления. Код проекта написан на языке C++ и распространяется под лицензией MIT.
Анализатор был разработан в рамках проекта по автоматизации процесса рецензирования исходных текстов мобильных приложений Facebook, Instagram и Whatsapp. В первой половине 2021 года половина из всех уязвимостей в мобильных приложениях Facebook была выявлена при помощи инструментов для автоматизированного анализа. Код Mariana Trench тесно переплетается с другими проектами Facebook, например, для разбора байткода использованы наработки оптимизатора байткода Redex, а для наглядной интерпретации и изучения результатов статического анализа - библиотека SPARTA.
Выявление потенциальных уязвимостей и проблем с конфиденциальностью осуществляется при помощи анализа потоков данных в ходе выполнения приложения, что позволяет определить ситуации, когда неочищенные внешние данные обрабатываются в опасных конструкциях, таких как SQL-запросы, операции с файлами и в вызовы, приводящие к запуску внешних программ.
Работа анализатора сводится к определению источников поступления данных и опасных вызовов, в которых исходные данные не должны применяться - анализатор отслеживает прохождение данных по цепочке вызовов функций и связывает исходные данные с потенциально опасными местами в коде. Например, в качестве требующего отслеживания источника рассматриваются данные, поступившие через вызов Intent.getData, а в качестве опасных применений вызовы Log.w и Runtime.exec.
оригинал
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://engineering.fb.com/202...)
- OpenNews: Facebook представил Pysa, статический анализатор для языка Python
- OpenNews: Выпуск Psalm 3.12, статического анализатора для языка PHP. Альфа выпуск PHP 8.0
- OpenNews: Релиз статического анализатора cppcheck 2.1
- OpenNews: Релиз свободного статического анализатора кода frama-clang 0.0.5
- OpenNews: Facebook открыл RacerD, статический анализатор для многопоточного кода на Java
Похожие новости:
- Facebook разработал открытую PCIe-карту с атомными часами
- Facebook добился удаления репозитория альтернативного Instagram-клиента Barinsta
- [Бизнес-модели, Социальные сети и сообщества, Финансы в IT, IT-компании] Доля Цукерберга в Facebook сократилась до 14 %
- [Информационная безопасность, Мессенджеры, Законодательство в IT] В Еврокомиссию пожаловались на спорное изменение политики WhatsApp
- [Машинное обучение, Искусственный интеллект] Facebook поделился двумя гигантскими датасетами Conversational AI
- [Разработка робототехники, Робототехника, Искусственный интеллект] Специалисты Facebook AI создали виртуальную среду для обучения домашних роботов
- [Разработка робототехники, Робототехника, Искусственный интеллект] Facebook AI представила робота, который адаптируется к изменениям рельефа в реальном времени
- [IT-компании] Microsoft выдала сотрудникам бонус в размере $1500 за работу в пандемию
- [Законодательство в IT, Социальные сети и сообщества, IT-компании] Трамп решил засудить Цукерберга, Пичаи и Дорси
- [IT-компании] Apple ужесточила правила отслеживания для рекламы — в результате подорожала реклама, нацеленная на пользователей Androi
Теги для поиска: #_marianatrench, #_facebook, #_static, #_analizer
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 07:15
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Facebook представил новый открытый статический анализатор Mariana Trench, нацеленный на выявление уязвимостей в приложениях для платформы Android и программах на языке Java. Предоставляется возможность анализа проектов без исходных текстов, для которых доступен только байткод для виртуальной машины Dalvik. Из достоинств также выделяется очень высокая скорость выполнения (анализ нескольких миллионов строк кода занимает около 10 секунд), что позволяет примять Mariana Trench для проверки всех предлагаемых изменений по мере их поступления. Код проекта написан на языке C++ и распространяется под лицензией MIT. Анализатор был разработан в рамках проекта по автоматизации процесса рецензирования исходных текстов мобильных приложений Facebook, Instagram и Whatsapp. В первой половине 2021 года половина из всех уязвимостей в мобильных приложениях Facebook была выявлена при помощи инструментов для автоматизированного анализа. Код Mariana Trench тесно переплетается с другими проектами Facebook, например, для разбора байткода использованы наработки оптимизатора байткода Redex, а для наглядной интерпретации и изучения результатов статического анализа - библиотека SPARTA. Выявление потенциальных уязвимостей и проблем с конфиденциальностью осуществляется при помощи анализа потоков данных в ходе выполнения приложения, что позволяет определить ситуации, когда неочищенные внешние данные обрабатываются в опасных конструкциях, таких как SQL-запросы, операции с файлами и в вызовы, приводящие к запуску внешних программ. Работа анализатора сводится к определению источников поступления данных и опасных вызовов, в которых исходные данные не должны применяться - анализатор отслеживает прохождение данных по цепочке вызовов функций и связывает исходные данные с потенциально опасными местами в коде. Например, в качестве требующего отслеживания источника рассматриваются данные, поступившие через вызов Intent.getData, а в качестве опасных применений вызовы Log.w и Runtime.exec. оригинал =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 07:15
Часовой пояс: UTC + 5