ફેસબુકે «પિસા નામનો એક ખુલ્લો સ્રોત સ્થિર વિશ્લેષક રજૂ કર્યો છેPy (પાયથોન સ્થિર વિશ્લેષક) જે છે પાયથોન કોડમાં સંભવિત નબળાઈઓ ઓળખવા માટે રચાયેલ છે.
પાયસા ડેટા ફ્લો વિશ્લેષણ પ્રદાન કરે છે કોડ એક્ઝેક્યુશનના પરિણામે, જે તમને ઘણી સંભવિત નબળાઈઓ અને સમસ્યાઓ ઓળખવાની મંજૂરી આપે છે જ્યાં તે દેખાવા ન જોઈએ ત્યાં ડેટાના ઉપયોગથી સંબંધિત ગોપનીયતાની.
ઉદાહરણ તરીકે, પાયસા કોલ્સમાં કાચા બાહ્ય ડેટાના ઉપયોગને ટ્રેક કરી શકે છે જે બાહ્ય પ્રોગ્રામ ચલાવે છે, ફાઇલ operationsપરેશનમાં અને એસક્યુએલ કન્સ્ટ્રક્શન્સમાં
આજે, અમે પાયસા વિશેની વિગતો શેર કરીએ છીએ, એક ઓપન સોર્સ સ્થિર વિશ્લેષણ સાધન જે અમે પાયથોન કોડમાં સુરક્ષા અને ગોપનીયતા સમસ્યાઓ શોધી કા detectવા અને અટકાવવા માટે બનાવેલ છે. ગયા વર્ષે, અમે શેર કર્યું કે અમે કેવી રીતે ઝonનકોલાન બનાવ્યું, એક સ્થિર વિશ્લેષણ સાધન જે અમને 100 મિલિયનથી વધુ હેક કોડની લાઇનોનું વિશ્લેષણ કરવામાં મદદ કરે છે અને ઇજનેરોને હજારો સંભવિત સુરક્ષા સમસ્યાઓ અટકાવવામાં મદદ કરી છે. તે સફળતાએ અમને પાયસા વિકસાવવા પ્રેરણા આપી, જે પાયથોન સ્ટેટિક Analyનલિટાઇઝરનું ટૂંકું નામ છે.
પિસા સમાન એલ્ગોરિધમ્સનો ઉપયોગ કરે છે સ્થિર વિશ્લેષણ કરવા માટે અને સાથે કોડ શેર કરો જોનકોલાન. ઝોનકોલાનની જેમ, પાયસા પ્રોગ્રામ દ્વારા ડેટાના પ્રવાહને ટ્ર .ક કરે છે.
વપરાશકર્તા સ્રોતો (જ્યાં મહત્વપૂર્ણ ડેટા ઉત્પન્ન થાય છે તે સ્થાનો) તેમજ સિંક (તે સ્થાનો જ્યાં સ્રોત ડેટા સમાપ્ત ન થવો જોઈએ) વ્યાખ્યાયિત કરે છે.
સુરક્ષા એપ્લિકેશનો માટે, સૌથી સામાન્ય પ્રકારનાં સ્રોત એ સ્થાનો છે જ્યાં વપરાશકર્તા-નિયંત્રિત ડેટા એપ્લિકેશનમાં પ્રવેશ કરે છે, જેમ કે જાંગો શબ્દકોશ.
રીસીવરો ઘણા વધુ વૈવિધ્યસભર હોય છે, પરંતુ તેમાં API નો સમાવેશ થાય છે જે કોડ ચલાવે છે, જેમ કે eval, અથવા APIs કે જે ફાઇલ સિસ્ટમ .ક્સેસ કરે છે, જેમ કેos.open.
પાયસા એબ્સ્ટ્રેક્ટ્સ બનાવવા માટે વિશ્લેષણના પુનરાવર્તિત રાઉન્ડ કરે છે કયા કાર્યોમાં સ્રોતમાંથી ડેટા પાછો આવે છે અને કયા કાર્યોમાં પરિમાણો છે જે આખરે સિંકને ફટકારે છે તે નિર્ધારિત કરવા માટે. જો પિસાને લાગે છે કે સ્રોત આખરે સિંક સાથે જોડાય છે, તો તે સમસ્યાની જાણ કરે છે.
વિશ્લેષકનું કાર્ય તે ઇનકમિંગ ડેટા સ્રોતોને ઓળખવા માટે ઉકળે છે અને ખતરનાક ક callsલ્સ, જેમાં મૂળ ડેટાનો ઉપયોગ ન કરવો જોઇએ.
પાયસા ફંક્શન કોલની સાંકળ દ્વારા ડેટાના પેસેજ પર નજર રાખે છે અને કોડમાં સંભવિત ખતરનાક સ્થળો સાથે મૂળ ડેટાને સાંકળે છે.
કારણ કે આપણે આપણા પોતાના ઉત્પાદનો માટે જ openંગો અને ટોર્નાડો જેવા ઓપન સોર્સ પાયથોન સર્વર ફ્રેમવર્કનો ઉપયોગ કરીએ છીએ, તેથી પાયસા પ્રોજેક્ટ્સમાં સુરક્ષા સમસ્યાઓનો સામનો કરવાનું શરૂ કરી શકે છે જે આ ફ્રેમવર્કનો ઉપયોગ ખૂબ જ પહેલાથી કરે છે. અમારી પાસે હજી સુધી કવરેજ નથી તેવા ફ્રેમ્સ માટે પાયસાનો ઉપયોગ કરવો તે સામાન્ય રીતે પ્યાસાને ડેટા સર્વરમાં ક્યાં આવે છે તે કહેવા માટે કેટલીક ગોઠવણી રેખાઓ ઉમેરવા જેટલી સરળ છે.
પાયસા દ્વારા ઓળખાતી સામાન્ય નબળાઈ એ ઝુલિપ મેસેજિંગ પ્લેટફોર્મમાં ખુલ્લી રીડાયરેક્ટ ઇશ્યૂ (સીવીઇ-2019-19775) છે, જે થંબનેલ્સ પ્રદર્શિત કરતી વખતે અશુદ્ધ બાહ્ય પરિમાણોને પસાર કરવાને કારણે થાય છે.
પાયસાની ડેટા ફ્લો ટ્રેકિંગ ક્ષમતાઓનો ઉપયોગ વધારાના ફ્રેમ્સના ઉપયોગને માન્ય કરવા અને વપરાશકર્તા ડેટા વપરાશ નીતિઓનું પાલન નક્કી કરવા માટે કરી શકાય છે.
ઉદાહરણ તરીકે, વધારાના રૂપરેખાંકનો વિના પાયસા ફ્રેમવર્કનો ઉપયોગ કરીને પ્રોજેક્ટ્સને ચકાસવા માટે વાપરી શકાય છે જાંગો અને ટોર્નાડો. પાયસા એસક્યુએલ સબસ્ટીટ્યુશન અને ક્રોસ-સાઇટ સ્ક્રિપ્ટીંગ (એક્સએસએસ) જેવી વેબ એપ્લિકેશનમાં સામાન્ય નબળાઈઓ પણ ઓળખી શકે છે.
ફેસબુક પર, વિશ્લેષકનો ઉપયોગ ઇન્સ્ટાગ્રામ સેવાના કોડને ચકાસવા માટે થાય છે. 2020 ના પ્રથમ ક્વાર્ટર દરમિયાન, પાયસાએ ફેસબુક એન્જિનિયરો દ્વારા ઇન્સ્ટાગ્રામના સર્વર-સાઇડ કોડ બેઝમાં મળી આવેલી બધી સમસ્યાઓના 44% ઓળખવામાં મદદ કરી.
પ્રક્રિયામાં કુલ 330 સમસ્યાઓ ઓળખવામાં આવી હતી પાયસાનો ઉપયોગ કરીને સ્વચાલિત પરિવર્તન ચકાસણી, જેમાંથી 49 (15%) નું મૂલ્યાંકન નોંધપાત્ર હતું અને 131 (40%) જોખમી નથી. 150 કેસોમાં (45%) સમસ્યાઓ ખોટી સકારાત્મકતાને આભારી છે.
નવું પાર્સર એ પાયર પ્રકાર ચકાસણી ટૂલકિટના પૂરક તરીકે ડિઝાઇન કરવામાં આવ્યું છે અને તે તમારા ભંડારમાં મૂકવામાં આવ્યું છે. કોડ એમઆઈટી લાઇસન્સ હેઠળ બહાર પાડવામાં આવ્યો છે.
છેલ્લે જો તમે તેના વિશે વધુ જાણવા માંગતા હો, તમે મૂળ પોસ્ટમાં વિગતો ચકાસી શકો છો. કડી આ છે.