फेसबुकने ओपन सोर्स स्टॅटिक अॅनालाइजर सादर केला आहे ज्याला "पायसा" म्हणतात»(पायथन स्टॅटिक Analyनालाइझर) जे आहे पायथन कोडमधील संभाव्य असुरक्षा ओळखण्यासाठी डिझाइन केलेले.
पायसा डेटा प्रवाह विश्लेषण प्रदान करते कोड अंमलबजावणीच्या परिणामी, जे आपल्याला बर्याच संभाव्य असुरक्षा आणि समस्या ओळखण्याची परवानगी देते ज्या ठिकाणी ती दिसू नये अशा ठिकाणी डेटाच्या वापराशी संबंधित प्रायव्हसीची माहिती.
उदाहरणार्थ, पायसा कॉलमधील कच्च्या बाह्य डेटाचा वापर मागोवा घेऊ शकतो जे बाह्य प्रोग्राम चालविते, फाईल ऑपरेशन्समध्ये आणि एसक्यूएल कन्स्ट्रक्ट्स मध्ये.
आज आम्ही पायसा कोडमधील सुरक्षितता आणि गोपनीयता समस्या शोधण्यासाठी आणि प्रतिबंधित करण्यासाठी तयार केलेले ओपन सोर्स स्टॅटिक एनालिसिस टूल, पायसा बद्दल तपशील सामायिक करतो. गेल्या वर्षी आम्ही झोनकोलन हे एक स्थिर विश्लेषण साधन कसे तयार केले हे सामायिक केले जे 100 दशलक्षाहून अधिक ओळीच्या कोडचे विश्लेषण करण्यास मदत करते आणि अभियंत्यांना हजारो संभाव्य सुरक्षा समस्या टाळण्यास मदत करते. त्या यशाने आम्हाला पायसा विकसित करण्यास प्रेरित केले जे पायथन स्टॅटिक Analyनालायझरचे संक्षिप्त रुप आहे.
पायसा समान अल्गोरिदम वापरते स्थिर विश्लेषण करण्यासाठी आणि त्यासह कोड सामायिक करणे झोनकोलन. झोनकोलन, पायसा प्रमाणे प्रोग्रामद्वारे डेटा प्रवाह ट्रॅक करते.
वापरकर्ता स्त्रोत (जिथे महत्त्वपूर्ण डेटा उद्भवते त्या ठिकाणांची) तसेच सिंक (ज्या ठिकाणी स्त्रोत डेटा समाप्त होऊ नये अशा ठिकाणी) परिभाषित करतो.
सुरक्षा अनुप्रयोगांसाठी, सामान्य प्रकारचे स्त्रोत अशी ठिकाणे आहेत जिथे वापरकर्ता-नियंत्रित डेटा अनुप्रयोगात प्रवेश करतो, जसे की जॅंगो शब्दकोश.
प्राप्तकर्ते बरेच भिन्न असतात, परंतु कोड चालविणार्या एपीआय समाविष्ट करू शकतात, जसे की evalकिंवा फाइल सिस्टममध्ये प्रवेश करणार्या एपीआय जसे कीos.open.
पायसा अॅब्स्ट्रॅक्ट तयार करण्यासाठी विश्लेषणाच्या पुनरावृत्ती फे per्या करते कोणती कार्ये स्त्रोताकडून डेटा परत करतात आणि कोणत्या फंक्शन्समध्ये पॅरामीटर्स असतात जे अखेरीस सिंकवर दाबतात हे निर्धारित करण्यासाठी. जर पायसाला असे आढळले की एखादे स्रोत अखेरीस सिंकशी कनेक्ट झाले तर ते समस्येचा अहवाल देते.
विश्लेषक काम येणार्या डेटा स्त्रोतांना ओळखण्यास उकळते आणि धोकादायक कॉल, ज्यामध्ये मूळ डेटा वापरला जाऊ नये.
पायसा फंक्शन कॉलच्या साखळीद्वारे डेटा जाण्यावर लक्ष ठेवते आणि कोडमधील संभाव्य धोकादायक ठिकाणांसह मूळ डेटा संबद्ध करते.
आम्ही आमच्या स्वत: च्या उत्पादनांसाठी ओपन सोर्स पायथन सर्व्हर फ्रेमवर्क वापरतो, म्हणून पायसा पहिल्यांदाच या फ्रेमवर्कचा वापर करणा projects्या प्रकल्पांमध्ये सुरक्षेच्या समस्या उद्भवू शकते. आमच्याकडे अद्याप कव्हरेज नसलेल्या फ्रेमवर्कसाठी पायसा वापरणे साधारणपणे पायस्सला सांगण्यासाठी काही कॉन्फिगरेशन लाइन जोडण्याइतके सोपे आहे, सर्व्हरमध्ये डेटा कोठे येत आहे.
लघुप्रतिमा प्रदर्शित करताना अशुद्ध बाह्य मापदंड पार केल्यामुळे, झिपिप मेसेजिंग प्लॅटफॉर्ममध्ये पायसा द्वारे ओळखलेली सामान्य असुरक्षा ही ओपन रीडायरेक्ट इश्यू (सीव्हीई -२०१-2019-१19775-XNUMX) आहे.
अतिरिक्त फ्रेमचा वापर प्रमाणीकृत करण्यासाठी आणि वापरकर्ता डेटा वापर धोरणांचे पालन निर्धारित करण्यासाठी पायसाची डेटा फ्लो ट्रॅकिंग क्षमता वापरली जाऊ शकते.
उदाहरणार्थ, अतिरिक्त कॉन्फिगरेशनशिवाय पायसा फ्रेमवर्क वापरून प्रकल्प सत्यापित करण्यासाठी वापरली जाऊ शकते झांगो आणि टॉर्नाडो पायसा वेब अनुप्रयोगांमधील सामान्य असुरक्षा देखील ओळखू शकते, जसे की एसक्यूएल सबस्टीट्यूशन आणि क्रॉस-साइट स्क्रिप्टिंग (एक्सएसएस).
फेसबुकवर, विश्लेषक इन्स्टाग्राम सेवेचा कोड सत्यापित करण्यासाठी वापरला जातो. 2020 च्या पहिल्या तिमाहीत, पायसाने इन्स्टाग्रामच्या सर्व्हर-साइड कोड बेसमध्ये फेसबुक अभियंत्यांद्वारे आढळलेल्या सर्व समस्यांपैकी 44% ओळखण्यास मदत केली.
प्रक्रियेत एकूण 330 समस्या ओळखल्या गेल्या पायसा वापरुन स्वयंचलित बदल सत्यापनाचे, 49 पैकी 15 (131%) महत्त्वपूर्ण म्हणून मूल्यांकन केले गेले आणि 40 (150%) धोकादायक नव्हते. १ cases० प्रकरणांमध्ये (% 45%) समस्या चुकीच्या सकारात्मकतेला कारणीभूत ठरली.
नवीन पार्सर पायरे प्रकार सत्यापन टूलकिटमध्ये अॅड-ऑन म्हणून डिझाइन केलेले आहे आणि आपल्या भांडारात ठेवले आहे. एमआयटी परवान्याअंतर्गत कोड जारी केला आहे.
शेवटी आपण त्याबद्दल अधिक जाणून घेऊ इच्छित असल्यास, आपण मूळ पोस्टमध्ये तपशील पाहू शकता. दुवा हा आहे.