Facebook 宣佈開源靜態分析工具 Pysa。這是 Instagram 上用於檢測和修復應用程式龐大 Python 程式碼庫中錯誤的一個內部工具,可以自動識別 Facebook 工程師編寫的易受攻擊的程式碼段,然後再將其整合到社交網路的系統中。
其工作原理是在程式碼執行/編譯之前,以靜態的形式掃描程式碼、查詢潛在已知的錯誤模式、然後幫助開發者標註出潛在的問題。Facebook 聲稱,Pysa 現已通過持續改進達到了成熟;在 2020 上半年,該工具在 Instagram 伺服器端的 Python 程式碼中檢測到了 44% 的安全漏洞。
Pysa 是 Python Static Analyzer 的首字母縮寫,其基於 Pyre 專案的開原始碼構建,可以對 Python 應用程式中的資料流進行分析。此外,Pysa 還可以檢測常見的 Web 應用安全問題,例如 XSS 和 SQL 注入。
Pysa 的開發汲取了 Zoncolan 的經驗,其使用了與 Zoncolan 相同的演算法執行靜態分析,甚至與 Zoncolan 共享了一些程式碼。像 Zoncolan 一樣,Pysa 可追蹤程式中的資料流。Zoncolan 是 Facebook 於 2019 年 8 月釋出的用於 Hack 的靜態分析器,主要面向類似於 PHP 的程式語言。
Pysa 和 Zoncolan 都可對輸入程式碼庫的資料“源”和“接收器”進行查詢,且都可以跟蹤資料在程式碼庫中的移動方式,並找到危險的“接收器”部分,例如可以執行程式碼或檢索敏感使用者資料的函式。當在輸入源和危險的接收器之間發現連線時,Pysa(和 Zoncolan)就會向開發者發出警示,以便其展開相應的調查。
此外,Pysa 也是為提高速度而構建的,它能夠在 30 分鐘到幾小時內處理數百萬行程式碼。Pysa 的另一個特性則是具有可擴充套件性,Facebook 安全工程師Graham Bleaney 稱,“因為我們自己的產品使用了開源的 Python 伺服器框架,比如 Django 和 Tornado,所以 Pysa 可以從第一次執行就開始發現使用這些框架的專案的安全問題。而將 Pysa 用於我們尚未涉及的框架,一般來說只需新增幾行配置,告訴 Pysa 資料進入伺服器的位置即可。”
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/117810/facebook-open-source-pysa
Facebook 開源 Instagram 安全工具 Pysa已經有140次圍觀
