Tá anailísí statach foinse oscailte tugtha isteach ag Facebook ar a dtugtar "Pysa»(Anailíseoir Statach Python) atá deartha chun leochaileachtaí féideartha i gcód Python a aithint.
Písa soláthraíonn sé anailís ar shreabhadh sonraí mar thoradh ar fhorghníomhú cód, a ligeann duit go leor leochaileachtaí agus fadhbanna féideartha a aithint príobháideachta a bhaineann le húsáid sonraí in áiteanna nár cheart dóibh a bheith i láthair.
Mar shampla, Pysa in ann úsáid sonraí seachtracha amh a rianú i nglaonna a fhorghníomhaíonn cláir sheachtracha, in oibríochtaí comhaid agus i bhfoirgníochtaí SQL.
Sa lá atá inniu ann, roinnimid sonraí faoi Pysa, uirlis anailíse statach foinse oscailte atá tógtha againn chun saincheisteanna slándála agus príobháideachta i gcód Python a bhrath agus a chosc. Anuraidh, roinn muid an chaoi ar chruthaíomar Zoncolan, uirlis anailíse statach a chuidíonn linn anailís a dhéanamh ar níos mó ná 100 milliún líne de chód hack agus a chuidigh le hinnealtóirí na mílte fadhbanna slándála féideartha a chosc. Spreag an rath sin muid chun Pysa a fhorbairt, ar acrainm é do Python Static Analyzer.
Úsáideann Pysa na halgartaim céanna chun anailís statach a dhéanamh agus fiú cód a roinnt le zóncolan. Cosúil le Zoncolan, Pysa rianaíonn sé sreafaí sonraí trí chlár.
Sainmhíníonn an t-úsáideoir foinsí (áiteanna as a dtagann sonraí tábhachtacha) chomh maith le doirteal (áiteanna nár cheart go dtiocfadh deireadh leis na sonraí foinse).
Maidir le feidhmchláir slándála, is iad na cineálacha foinsí is coitianta áiteanna ina dtéann sonraí faoi rialú úsáideora isteach san fheidhmchlár, mar shampla foclóir Django.
Is gnách go mbíonn glacadóirí i bhfad níos éagsúla, ach féadann siad APIanna a ritheann cód, mar shampla eval, nó APIs a dhéanann rochtain ar an gcóras comhad, maros.open.
Déanann Pysa babhtaí athfhillteacha anailíse chun achomaireachtaí a thógáil chun a fháil amach cé na feidhmeanna a chuireann sonraí ar ais ó fhoinse agus cé na feidhmeanna a bhfuil paraiméadair acu a bhuail doirteal sa deireadh. Má aimsíonn Pysa go nascann foinse le doirteal sa deireadh, tuairiscíonn sé fadhb.
Obair anailíseora tá sé bunaithe ar fhoinsí sonraí atá ag teacht isteach a aithint agus glaonna contúirteacha, nár cheart na sonraí bunaidh a úsáid iontu.
Déanann Pysa monatóireacht ar ghluaiseacht sonraí trí shlabhra na nglaonna feidhme agus nascann sé na sonraí bunaidh le háiteanna a d’fhéadfadh a bheith contúirteach sa chód.
Toisc go n-úsáideann muid creataí freastalaí Python foinse oscailte mar Django agus Tornado le haghaidh ár dtáirgí féin, féadfaidh Pysa tosú ag teacht ar shaincheisteanna slándála i dtionscadail a úsáideann na creataí seo ón gcéad rith. De ghnáth bíonn Pysa á úsáid le haghaidh frámaí nach bhfuil clúdach againn dóibh fós chomh simplí le cúpla líne chumraíochta a chur leis chun a rá le Pysa cá bhfuil na sonraí ag teacht isteach sa bhfreastalaí.
Is saincheist oscailte atreoraithe (CVE-2019-19775) in ardán teachtaireachtaí Zulip leochaileacht choiteann a shainaithníonn Pysa, a tharlaíonn de bharr paraiméadair sheachtracha neamhghlan a rith agus mionsamhlacha á dtaispeáint.
Is féidir cumais rianaithe sreabhadh sonraí Pysa a úsáid chun úsáid frámaí breise a bhailíochtú agus chun comhlíonadh le beartais úsáide sonraí úsáideora a chinneadh.
Eg Is féidir Pysa gan cumraíochtaí breise a úsáid chun tionscadail a úsáideann na creataí a fhíorú Django agus Tornado. Féadann Pysa leochaileachtaí coitianta a aithint in iarratais gréasáin, mar ionadú SQL agus scriptiú tras-láithreáin (XSS).
Ar Facebook, úsáidtear an anailísí chun cód na seirbhíse Instagram a fhíorú. Le linn na chéad ráithe de 2020, chabhraigh Pysa le 44% de na fadhbanna go léir a d'aimsigh innealtóirí Facebook a aithint i mbonn cód taobh freastalaí Instagram.
Aithníodh 330 fadhb san iomlán sa phróiseas maidir le fíorú athraithe uathoibrithe ag baint úsáide as Pysa, measadh go raibh 49 (15%) suntasach agus nach raibh 131 (40%) contúirteach. I 150 cás (45%) cuireadh na fadhbanna i leith rudaí dearfacha bréagacha.
Dearadh an parsálaí nua mar bhreiseán ar an bhfoireann uirlisí fíoraithe de chineál Pyre agus cuirtear é i do stór. Scaoiltear an cód faoin gceadúnas MIT.
Ar deireadh más mian leat tuilleadh a fháil amach faoi, is féidir leat na sonraí a sheiceáil sa phost bunaidh. Is é seo an nasc.
Bí ar an chéad trácht