9月29日,F(xiàn)acebook宣布開(kāi)源Mariana Trench,這是一個(gè)專(zhuān)注于Android的靜態(tài)分析平臺(tái),該平臺(tái)用于檢測(cè)和防止為移動(dòng)操作系統(tǒng)大規(guī)模創(chuàng)建的應(yīng)用程序中的安全和隱私漏洞。
Facebook表示,“[Mariana Trench] 旨在能夠掃描大型移動(dòng)代碼庫(kù)并在拉取請(qǐng)求投入生產(chǎn)之前標(biāo)記潛在問(wèn)題。”
簡(jiǎn)而言之,該實(shí)用程序允許開(kāi)發(fā)人員為不同的數(shù)據(jù)流制定規(guī)則以?huà)呙璐a庫(kù),以發(fā)現(xiàn)潛在問(wèn)題。
例如,可能導(dǎo)致敏感數(shù)據(jù)泄漏的意圖重定向缺陷,或允許攻擊者插入的注入漏洞任意代碼——明確設(shè)置用戶(hù)提供的數(shù)據(jù)進(jìn)入應(yīng)用程序的邊界,允許來(lái)自(源)和流入(接收器),如數(shù)據(jù)庫(kù)、文件、網(wǎng)絡(luò)視圖或日志。
發(fā)現(xiàn)違反規(guī)則的數(shù)據(jù)流會(huì)返回給安全工程師或發(fā)出包含更改的拉取請(qǐng)求。
Facebook表示,在其應(yīng)用程序(包括 Facebook、Instagram 和 WhatsApp)中檢測(cè)到的漏洞,有超過(guò)50%是使用自動(dòng)化工具發(fā)現(xiàn)的。Mariana Trench也標(biāo)志著該公司在Zoncolan和Pysa之后開(kāi)源的第三項(xiàng)此類(lèi)服務(wù),它們分別針對(duì)Hack和 Python 編程語(yǔ)言。
在此之前,微軟旗下的GitHub也采取了類(lèi)似的舉措,該公司于2019年收購(gòu)了Semmle并啟動(dòng)了一個(gè)安全實(shí)驗(yàn)室,旨在保護(hù)開(kāi)源軟件,此外還免費(fèi)提供諸如CodeQL之類(lèi)的語(yǔ)義代碼分析工具,以發(fā)現(xiàn)公開(kāi)代碼中的漏洞。
該公司表示:“在移動(dòng)和Web應(yīng)用程序之間補(bǔ)丁和確保代碼更新方面存在差異,因此它們需要不同的方法?!?/p>
“雖然Web應(yīng)用程序的服務(wù)器端代碼幾乎可以即時(shí)更新,但緩解Android應(yīng)用程序中的安全漏洞,需要依賴(lài)于每個(gè)用戶(hù)及時(shí)更新自己設(shè)備上的應(yīng)用程序。這就使得任何應(yīng)用開(kāi)發(fā)者都需要有相應(yīng)的系統(tǒng)來(lái)防止漏洞出現(xiàn)在手機(jī)版本中,這一點(diǎn)變得尤為重要。”
Mariana Trench可以通過(guò)GitHub訪(fǎng)問(wèn),F(xiàn)acebook也在PyPi庫(kù)上發(fā)布了一個(gè)Python包。
多數(shù)情況下,漏洞的存在都是由于系統(tǒng)中出現(xiàn)代碼缺陷,而這種缺陷由人工檢查或不易發(fā)覺(jué)或費(fèi)時(shí)費(fèi)力,所以就需要借助靜態(tài)代碼檢測(cè)工具。靜態(tài)代碼檢測(cè)可以幫助開(kāi)發(fā)人員減少30%-70%的安全漏洞,大大提高軟件安全性。隨著網(wǎng)絡(luò)安全防御已從傳統(tǒng)外部防護(hù)延展到軟件內(nèi)部安全建設(shè),在軟件開(kāi)發(fā)階段實(shí)時(shí)檢測(cè)、修復(fù)代碼漏洞,提升軟件本身的安全屬性,降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn),已經(jīng)成為國(guó)際共識(shí)。
參讀鏈接:
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/122217.html