Pysa, oo ah falanqeeye joogto ah oo loogu talagalay Python oo ay bixiso Facebook

Darkcrizt

Daqiiqado 4

Facebook ayaa soo bandhigtay il-furan furan oo falanqeeye lagu magacaabo «Pysa»(Python Static Analyzer) oo ah loogu talagalay in lagu aqoonsado jilicsanaanta suuragalka ah ee koodhka Python.

paysa waxay bixisaa falanqaynta socodka xogta natiijada koodhka fulintiisa, taas oo wuxuu kuu ogolaanayaa inaad ogaato jilicsanaanta iyo dhibaatooyinka badan ee iman kara asturnaanta la xiriirta adeegsiga xogta meelaha aysan ka muuqan karin.

Tusaale ahaan, Pysa la socon kara isticmaalka xogta dibedda ee ceeriin ee wicitaanada oo fuliya barnaamijyada dibedda, hawlgallada faylka, iyo dhismooyinka SQL.

Maanta, waxaan wadaagnaa faahfaahin ku saabsan Pysa, oo ah aalad furan oo falanqeyn ma guurto ah oo aan u dhignay si loo ogaado oo looga hortago arrimaha amniga iyo asturnaanta ee lambarka Python. Sannadkii hore, waxaan wadaagnay sida aan u abuurnay Zoncolan, oo ah aalad falanqeyn joogto ah oo naga caawisa in aan falanqeyno in ka badan 100 milyan oo xariiq oo loo yaqaan 'hack code' waxayna ka caawisay injineerada in ay ka hortagaan kumanaan dhibaato nabadgelyo oo dhici karta. Guushaas ayaa nagu dhiirrigelisay inaan horumarinno Pysa, taas oo loo soo gaabiyo Python Static Analyzer.

Pysa waxay isticmaashaa isla algorithms si loo sameeyo falanqeyn joogto ah oo xitaa lala wadaago koodhka zoncolan. Sida Zoncolan, Pysa waxay la socotaa xogta ku socota barnaamijka.

Isticmaaluhu wuxuu qeexayaa ilaha (meelaha ay xogta muhiimka ahi ka soo bilaabato) iyo sidoo kale saxamada (meelaha aan xogta illaha ahi ku dhammaanayn).

Codsiyada amniga, noocyada ugu caansan ee ilaha waa meelaha ay xogta ay isticmaaleyaashu maamusho ay soo gasho arjiga, sida qaamuuska Django.

Soo-qaatayaashu waxay u muuqdaan kuwo aad u kala duwan, laakiin waxay ku jiri karaan API-yada ku shaqeeya lambarka, sida eval, ama API-yada gala nidaamka faylka, sidaos.open

Pysa wuxuu sameeyaa wareegyo falanqayn ah oo isdaba joog ah si loo dhiso qoraallo si loo go'aamiyo shaqooyinka xogta ka soo celiya isha iyo shaqooyinka leh xaddidaadyo ugu dambeyn ku dhaca saxanka qubeyska. Haddii Pysa ay ogaato in il ay aakhirka ku xirto saxanka, waxay soo sheegaysaa dhibaato. 

Shaqada Falanqeeyaha waxay ku foorareysaa aqoonsiga ilaha xogta soo socota iyo wicitaano khatar ah, oo aan xogta asalka ah loo isticmaali karin.

Pysa waxay kormeertaa marinka xogta iyada oo loo marayo silsiladda wicitaanada waxayna la wadaajinaysaa xogta asalka ah meelaha khatarta u leh koodhka.

Sababtoo ah waxaan u adeegsannaa ilo furan oo loo yaqaan 'Python server framework' sida Django iyo Tornado oo ah alaabteena gaarka ah, Pysa waxay bilaabi kartaa inay la kulanto arrimaha amniga ee mashaariicda adeegsanaya qaababkan marka ugu horeysa. U adeegsiga Pysa ee looxyada aanan haysan caymis wali waa guud ahaan sida ugu fudud oo lagu daro dhowr khadad qaabeynta si aad ugu sheegto Pysa halka ay xogta ka imaaneyso serverka.

Jilicsanaanta guud ee lagu aqoonsaday Pysa waa arrin furfuritaan furan (CVE-2019-19775) oo ku taal barxadda fariimaha ee Zulip, oo ay sababtay gudbinta xuduudaha dibadda ee aan nadiifka ahayn marka la soo bandhigayo thumbnails.

Awoodda raadraaca socodka socodka ee Pysa ayaa loo isticmaali karaa in lagu xaqiijiyo adeegsiga looxyo dheeri ah iyo in la go'aamiyo u hoggaansanaanta siyaasadaha adeegsiga xogta isticmaalaha.

Tusaale ahaan, Pysa oo aan lahayn qaabeyn dheeri ah ayaa loo isticmaali karaa si loo xaqiijiyo mashaariicda iyadoo la adeegsanayo qaababka Django iyo Tornado. Pysa sidoo kale waxay aqoonsan kartaa jilicsanaanta guud ee codsiyada websaydhka, sida beddelka SQL iyo qoraalka iskutallaabta (XSS).

Barta Facebook, falanqeeyaha waxaa loo isticmaalaa in lagu xaqiijiyo lambarka adeegga Instagram. Intii lagu gudajiray rubuca koowaad ee 2020, Pysa waxay gacan ka gaysatay aqoonsiga 44% dhammaan dhibaatooyinka ay ka heleen injineerada Facebook ee kujira barta lambarka server-ka ee Instagram.

Wadar ahaan 330 dhibaato ayaa lagu ogaadey howsha ee xaqiijinta isbeddelka otomaatiga ah iyadoo la adeegsanayo Pysa, 49 (15%) kuwaas oo lagu qiimeeyay inay yihiin kuwo muhiim ah oo 131 (40%) aysan khatar ahayn. 150 xaaladood (45%) dhibaatooyinka waxaa loo aaneeyey wanaag been ah.

Baaraha cusub waxaa loogu talagalay inuu kab u noqdo qalabka xaqiijinta nooca Pyre waxaana lagu ridayaa keydkaaga. Koodhka waxaa lagu sii daayaa shatiga MIT.

Finalmente haddii aad rabto inaad wax badan ka ogaato, waxaad ka eegi kartaa faahfaahinta boostada asalka ah. Xiriiriyaha waa kan.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.