Facebook 开源 Instagram 安全工具 Pysa
点击上方蓝色“程序猿DD”,选择“设为星标”
回复“资源”获取独家整理的学习资料!
作者 | 白开水不加糖
来源 | 公众号「开源中国」
Facebook 宣布开源静态分析工具 Pysa。这是 Instagram 上用于检测和修复应用程序庞大 Python 代码库中错误的一个内部工具,可以自动识别 Facebook 工程师编写的易受攻击的代码段,然后再将其集成到社交网络的系统中。
其工作原理是在代码运行/编译之前,以静态的形式扫描代码、查找潜在已知的错误模式、然后帮助开发者标注出潜在的问题。
Facebook 声称,Pysa 现已通过持续改进达到了成熟;在 2020 上半年,该工具在 Instagram 服务器端的 Python 代码中检测到了 44% 的安全漏洞。
Pysa 是 Python Static Analyzer 的首字母缩写,其基于 Pyre 项目的开源代码构建,可以对 Python 应用程序中的数据流进行分析。此外,Pysa 还可以检测常见的 Web 应用安全问题,例如 XSS 和 SQL 注入。
Pysa 的开发汲取了 Zoncolan 的经验,其使用了与 Zoncolan 相同的算法执行静态分析,甚至与 Zoncolan 共享了一些代码。像 Zoncolan 一样,Pysa 可追踪程序中的数据流。Zoncolan 是 Facebook 于 2019 年 8 月发布的用于 Hack 的静态分析器,主要面向类似于 PHP 的编程语言。
Pysa 和 Zoncolan 都可对输入代码库的数据“源”和“接收器”进行查找,且都可以跟踪数据在代码库中的移动方式,并找到危险的“接收器”部分,例如可以执行代码或检索敏感用户数据的函数。当在输入源和危险的接收器之间发现连接时,Pysa(和 Zoncolan)就会向开发者发出警示,以便其展开相应的调查。
此外,Pysa 也是为提高速度而构建的,它能够在 30 分钟到几小时内处理数百万行代码。
Pysa 的另一个特性则是具有可扩展性,Facebook 安全工程师Graham Bleaney 称,“因为我们自己的产品使用了开源的 Python 服务器框架,比如 Django 和 Tornado,所以 Pysa 可以从第一次运行就开始发现使用这些框架的项目的安全问题。
而将 Pysa 用于我们尚未涉及的框架,一般来说只需添加几行配置,告诉 Pysa 数据进入服务器的位置即可。”
往期推荐
赠书:百万畅销书《重构》再版,听Martin Fowler聊聊新版的故事
ScheduledThreadPool中的Leader-Follow模式你知道不?
视频、图片一键卡通化的开源工具!
Spring Boot 中的 RestTemplate不好用?试试 Retrofit !
十年后,这款优秀的工具终于给出了不开源的原因
离职成为自由开发者的100天
我在星球与你分享经验、交流成长
???? ???? ???? ????
星球两大分享内容
Facebook 开源 Instagram 安全工具 Pysa相关推荐
- Facebook 开源 Instagram 的Python 代码静态安全分析工具 Pysa
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Facebook 正式发布安全工具 Pysa,它专用于查找并修复 Instagram app 庞大Python 代码库中的漏洞. Py ...
- Facebook 开源代码分析工具 —— Mariana Trench
Facebook 的安全团队本周向开源社区揭晓了一个新的开源项目 --Mariana Trench,这是一个用于识别 Android 和 Java 应用程序漏洞的开源工具,Facebook 此前一直在 ...
- 开源公司黄页之Facebook开源软件推荐(一)
从Facebook的GitHub账户中可以看到,Facebook已经开源的开源项目有近300个,领域涉及移动.前端.Web.后端.大数据.数据库.工具和硬件等. React Native--移动开发框 ...
- [转]开源大数据处理工具汇总
查询引擎 一.Phoenix 贡献者::Salesforce 简介:这是一个Java中间层,可以让开发者在Apache HBase上执行SQL查询.Phoenix完全使用Java编写,代码位于GitH ...
- Facebook开源多款AI工具,支持游戏、翻译等
翻译 | 林椿眄 编辑 | 阿司匹林 出品 | AI科技大本营(公众号ID:rgznai100) 近日,Facebook 在年度开发者大会 F8 上宣布开源多款 AI 工具,除了 PyTorch.Ca ...
- Facebook 开源了一整套重要的 Linux 内核组件与工具!
近日,Facebook 开源了一套解决重要计算集群管理问题的 Linux 内核组件和相关工具,这些项目覆盖了资源控制.资源利用.工作负载隔离.负载均衡.测量和监控等方面:BPF.Btrfs.Netco ...
- Facebook 开源了一整套重要的 Linux 内核组件与工具!
近日,Facebook 开源了一套解决重要计算集群管理问题的 Linux 内核组件和相关工具,这些项目覆盖了资源控制.资源利用.工作负载隔离.负载均衡.测量和监控等方面:BPF.Btrfs.Netco ...
- Facebook开源多款AI工具,支持游戏、翻译
点击上方"CSDN",选择"置顶公众号" 关键时刻,第一时间送达! 翻译 | 林椿眄 编辑 | 阿司匹林 出品 | AI科技大本营 近日,Facebook 在年 ...
- facebook开源的prophet时间序列预测工具---识别多种周期性、趋势性(线性,logistic)、节假日效应,以及部分异常值
facebook开源的prophet时间序列预测工具---识别多种周期性.趋势性(线性,logistic).节假日效应,以及部分异常值 参考文章: (1)facebook开源的prophet时间序列预 ...
最新文章
- 计算机表格最高分,excel表格里怎样算最高分 excel各个班的最高分
- nginx发布antd-pro项目(别人发的,未测试)
- MoeCTF 2021Re部分------大佬请喝咖啡,A_game
- codeforces315Div1 B Symmetric and Transitive
- Cortex-A 处理器运行模型
- 大数据WEB阶段 后台和页面之间传递日期格式数据的400问题
- js将文字填充与canvas画布再转为图片
- .NET CoreCLR开发人员指南(上)
- JavaFX技巧6:使用透明颜色
- eclipse 插件打包发布
- LintCode 550. 最常使用的K个单词II(自定义set(可修改数据的优先队列) + map)
- 遵循Java EE标准规范的开源GIS服务平台之三:数据发布与访问
- java非法字符检测_Java Web 一些特殊字符的过滤(appscan检查的安全问题)
- linux 文件隐藏权限,linux文件基本权限、默认权限、隐藏权限和ACL权限
- python学习笔记--python简介
- 软件测试常见面试题目(1)pareto法则,帕累托法则,28杀虫剂怪事,木桶原理,Good-enough原则群集效应,测试与调试的区别,QA以及职责,测试工程师和软件质量保证的,测试提交的缺陷开发人员
- 第六章 现在给我道歉还来得及~修改登录cookie进后台上传muma
- iOS 10版本适配
- Element-UI源码学习——弹框组件
- 【C#公共帮助类】枚举独特类