Facebook 的安全團(tuán)隊(duì)本周向開源社區(qū)揭曉了一個(gè)新的開源項(xiàng)目 —— Mariana Trench，這是一個(gè)用于識(shí)別 Android 和 Java 應(yīng)用程序漏洞的開源工具，F(xiàn)acebook 此前一直在公司內(nèi)部使用。

[[427028]]

這個(gè)以應(yīng)用安全為重點(diǎn)的工具可以分析數(shù)千萬行的大型代碼庫(kù)，幫助開發(fā)者在代碼出現(xiàn)漏洞之前發(fā)現(xiàn)漏洞，大大減少交付安全和隱私錯(cuò)誤所帶來的風(fēng)險(xiǎn)。

Facebook 透露，內(nèi)部工程師在使用了 Mariana Trench 后，發(fā)現(xiàn)了該公司所有應(yīng)用程序中 50% 以上的安全漏洞。

Mariana Trench 的工作方式：

Mariana Trench 通過分析從 "源"(用戶敏感數(shù)據(jù)，如密碼或地理位置)到 "匯"(使用來自于源數(shù)據(jù)的功能或方法)的信息流而工作。Mariana Trench 是專門為自動(dòng)發(fā)現(xiàn)此類問題而設(shè)計(jì)的，在大多數(shù)情況下，這些問題可能導(dǎo)致嚴(yán)重的隱私和安全漏洞。

Facebook 在該工具的文檔中解釋道："默認(rèn)情況下，Mariana Trench 會(huì)分析 dalvik 字節(jié)碼，因此無論是否訪問源代碼都可以正常工作。"

開發(fā)人員還可以通過添加新的規(guī)則和模型生成器來調(diào)整和訓(xùn)練它，使其專注于敏感數(shù)據(jù)不應(yīng)該出現(xiàn)的領(lǐng)域，從而關(guān)注特定的安全和隱私問題。

Mariana Trench 是繼 2019 年發(fā)布的 Zoncolan 和 2021 年發(fā)布的 Pysa 后，F(xiàn)acebook 公開的第三個(gè)代碼分析工具，雖然 Mariana Trench 的工作原理很像 Zoncolan 和 Pysa，但它們?nèi)哚槍?duì)的領(lǐng)域各不相同，其中 Zoncolan 和 Pysa 分別用于檢測(cè)和防止 Hack 和 Python 代碼中的安全問題，而 Mariana Trench 主要針對(duì) Android 和 Java。

目前 Facebook 已將該項(xiàng)目托管至 GitHub，感興趣的開發(fā)者可以點(diǎn)擊鏈接了解更多詳情。為了幫助開發(fā)者使用該工具，F(xiàn)acebook 還在官網(wǎng)發(fā)布了使用教程。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Facebook 開源代碼分析工具 —— Mariana Trench

本文地址：https://www.oschina.net/news/162572/facebook-open-sources-mariana-trench