Pysa, anailisiche statach airson Python air a thabhann le Facebook

Tha Facebook air anailisiche statach stòr fosgailte a thoirt a-steach leis an ainm "Pysa»(Python Static Analyzer) a tha air a dhealbhadh gus so-leòntachd a dh'fhaodadh a bhith ann an còd Python a chomharrachadh.

Pysa a ’toirt seachad mion-sgrùdadh sruthadh dàta mar thoradh air coileanadh còd, a a ’leigeil leat mòran de chugallachd is dhuilgheadasan a chomharrachadh de dhìomhaireachd co-cheangailte ri cleachdadh dàta ann an àiteachan far nach bu chòir dha nochdadh.

Mar eisimpleir, Pysa is urrainn dhaibh sùil a chumail air cleachdadh dàta amh taobh a-muigh ann an gairmean a bhios a ’coileanadh phrògraman taobh a-muigh, ann an obraichean faidhle agus ann an togail SQL.

An-diugh, bidh sinn a ’roinn mion-fhiosrachadh mu Pysa, inneal anailis statach stòr fosgailte a thog sinn gus cùisean tèarainteachd agus prìobhaideachd ann an còd Python a lorg agus a chasg. An-uiridh, cho-roinn sinn mar a chruthaich sinn Zoncolan, inneal anailis statach a chuidicheas sinn le bhith a ’dèanamh anailis air còrr air 100 millean loidhne de chòd hack agus a chuidich innleadairean gus casg a chuir air mìltean de dhuilgheadasan tèarainteachd a dh’ fhaodadh a bhith ann. Bhrosnaich an soirbheachas sin sinn gus Pysa a leasachadh, a tha na acronaim airson Python Static Analyzer.

Bidh Pysa a ’cleachdadh na h-aon algorithms gus mion-sgrùdadh statach a dhèanamh agus eadhon còd a roinn le Zoncolan. Coltach ri Zoncolan, Pysa a ’cumail sùil air sruthadh dàta tro phrògram.

Bidh an neach-cleachdaidh a ’mìneachadh stòran (àiteachan far an tàinig dàta cudromach) a bharrachd air sinicean (àiteachan far nach bu chòir an dàta stòr a thighinn gu crìch).

Airson tagraidhean tèarainteachd, is e na seòrsaichean stòran as cumanta àiteachan far am bi dàta fo smachd luchd-cleachdaidh a ’tighinn a-steach don tagradh, leithid faclair Django.

Tha gabhadairean buailteach a bhith tòrr nas eadar-dhealaichte, ach faodaidh iad a bhith a ’toirt a-steach APIan a tha a’ ruith còd, leithid eval, no APIan a gheibh cothrom air an t-siostam faidhle, leithidos.open

Bidh Pysa a ’dèanamh cuairtean anailis ath-aithriseach gus geàrr-chunntasan a thogail gus faighinn a-mach dè na gnìomhan a thilleas dàta bho stòr agus dè na gnìomhan aig a bheil paramadairean a bhuail sinc aig a ’cheann thall. Ma lorgas Pysa gu bheil stòr a ’ceangal ri sinc mu dheireadh, bidh e ag aithris duilgheadas. 

Obair anailisiche bidh e a ’goil sìos gu bhith a’ comharrachadh stòran dàta a tha a ’tighinn a-steach agus gairmean cunnartach, anns nach bu chòir an dàta tùsail a chleachdadh.

Bidh Pysa a ’cumail sùil air gluasad dàta tron ​​t-sreath de ghairmean gnìomh agus a’ ceangal an dàta tùsail ri àiteachan a dh ’fhaodadh a bhith cunnartach sa chòd.

Leis gu bheil sinn a ’cleachdadh frèaman frithealaiche Python stòr fosgailte mar Django agus Tornado airson na toraidhean againn fhèin, is dòcha gun tòisich Pysa a’ tighinn tarsainn air cùisean tèarainteachd ann am pròiseactan a bhios a ’cleachdadh nam frèaman sin bhon chiad ruith. Tha a bhith a ’cleachdadh Pysa airson frèaman nach eil còmhdach againn fhathast ach mar as trice cho sìmplidh ri bhith a’ cur beagan loidhnichean rèiteachaidh gus innse dha Pysa far a bheil dàta a ’tighinn a-steach don t-seirbheisiche.

Tha so-leòntachd cumanta air a chomharrachadh le Pysa na chùis ath-sheòladh fosgailte (CVE-2019-19775) ann an àrd-ùrlar teachdaireachdan Zulip, air adhbhrachadh le bhith a ’dol seachad air paramadairean taobh a-muigh neòghlan nuair a bhios tu a’ taisbeanadh òrdagan.

Faodar comasan tracadh sruthadh dàta Pysa a chleachdadh gus cleachdadh frèamaichean a bharrachd a dhearbhadh agus gus gèilleadh ri poileasaidhean cleachdadh dàta luchd-cleachdaidh a dhearbhadh.

Mar eisimpleir, Faodar Pysa às aonais rèiteachadh a bharrachd a chleachdadh gus pròiseactan a dhearbhadh a ’cleachdadh na frèaman Django agus Tornado. Faodaidh Pysa cuideachd so-leòntachd a chomharrachadh ann an tagraidhean lìn, leithid ionadachadh SQL agus sgrìobadh thar-làraich (XSS).

Air Facebook, thathas a ’cleachdadh an anailisiche gus còd seirbheis Instagram a dhearbhadh. Tron chiad ràith de 2020, chuidich Pysa le bhith a ’comharrachadh 44% de na duilgheadasan uile a lorg innleadairean Facebook ann am bunait còd taobh frithealaiche Instagram.

Chaidh 330 duilgheadas gu h-iomlan a chomharrachadh sa phròiseas de dhearbhadh atharrachadh fèin-ghluasadach a ’cleachdadh Pysa, chaidh 49 (15%) a mheasadh mar cudromach agus 131 (40%) nach robh cunnartach. Ann an 150 cùis (45%) chaidh na duilgheadasan a thoirt air rudan ceàrr.

Tha am parser ùr air a dhealbhadh mar chur-ris ris an inneal dearbhaidh seòrsa Pyre agus tha e air a chuir san ionad-tasgaidh agad. Tha an còd air a leigeil ma sgaoil fo chead MIT.

Mu dheireadh ma tha thu airson tuilleadh fhaighinn a-mach mu dheidhinn, faodaidh tu sgrùdadh a dhèanamh air mion-fhiosrachadh anns an dreuchd thùsail. Is e seo an ceangal.


Tha susbaint an artaigil a ’cumail ri na prionnsapalan againn de moraltachd deasachaidh. Gus aithris a dhèanamh air mearachd cliog an seo.

Bi a 'chiad fhear a thog beachd

Fàg do bheachd

Seòladh-d cha tèid fhoillseachadh. Feum air achaidhean air an comharrachadh le *

*

*

  1. Uallach airson an dàta: Miguel Ángel Gatón
  2. Adhbhar an dàta: Smachd air SPAM, riaghladh bheachdan.
  3. Dìleab: Do chead
  4. Conaltradh an dàta: Cha tèid an dàta a thoirt do threas phàrtaidhean ach a-mhàin fo dhleastanas laghail.
  5. Stòradh dàta: Stòr-dàta air a chumail le Occentus Networks (EU)
  6. Còraichean: Aig àm sam bith faodaidh tu am fiosrachadh agad a chuingealachadh, fhaighinn air ais agus a dhubhadh às.