Facebook 的安全团队本周向开源社区揭晓了一个新的开源项目 —— Mariana Trench,这是一个用于识别 Android 和 Java 应用程序漏洞的开源工具,Facebook 此前一直在公司内部使用。
这个以应用安全为重点的工具可以分析数千万行的大型代码库,帮助开发者在代码出现漏洞之前发现漏洞,大大减少交付安全和隐私错误所带来的风险。
Facebook 透露,内部工程师在使用了 Mariana Trench 后,发现了该公司所有应用程序中 50% 以上的安全漏洞。
Mariana Trench 的工作方式:
Mariana Trench 通过分析从 "源"(用户敏感数据,如密码或地理位置)到 "汇"(使用来自于源数据的功能或方法)的信息流而工作。Mariana Trench 是专门为自动发现此类问题而设计的,在大多数情况下,这些问题可能导致严重的隐私和安全漏洞。
Facebook 在该工具的文档中解释道:"默认情况下,Mariana Trench 会分析 dalvik 字节码,因此无论是否访问源代码都可以正常工作。"
开发人员还可以通过添加新的规则和模型生成器来调整和训练它,使其专注于敏感数据不应该出现的领域,从而关注特定的安全和隐私问题。
Mariana Trench 是继 2019 年发布的 Zoncolan 和 2021 年发布的 Pysa 后,Facebook 公开的第三个代码分析工具,虽然 Mariana Trench 的工作原理很像 Zoncolan 和 Pysa,但它们三者针对的领域各不相同,其中 Zoncolan 和 Pysa 分别用于检测和防止 Hack 和 Python 代码中的安全问题,而 Mariana Trench 主要针对 Android 和 Java。
目前 Facebook 已将该项目托管至 GitHub,感兴趣的开发者可以点击链接了解更多详情。为了帮助开发者使用该工具,Facebook 还在官网发布了使用教程。
本文转自OSCHINA
本文标题:Facebook 开源代码分析工具 —— Mariana Trench
本文地址:https://www.oschina.net/news/162572/facebook-open-sources-mariana-trench