Facebook 的安全團隊本周向開源社區(qū)揭曉了一個新的開源項目 —— Mariana Trench，這是一個用于識別 Android 和 Java 應用程序漏洞的開源工具，F(xiàn)acebook 此前一直在公司內(nèi)部使用。

[[427028]]

這個以應用安全為重點的工具可以分析數(shù)千萬行的大型代碼庫，幫助開發(fā)者在代碼出現(xiàn)漏洞之前發(fā)現(xiàn)漏洞，大大減少交付安全和隱私錯誤所帶來的風險。

Facebook 透露，內(nèi)部工程師在使用了 Mariana Trench 后，發(fā)現(xiàn)了該公司所有應用程序中 50% 以上的安全漏洞。

Mariana Trench 的工作方式：

Mariana Trench 通過分析從 "源"(用戶敏感數(shù)據(jù)，如密碼或地理位置)到 "匯"(使用來自于源數(shù)據(jù)的功能或方法)的信息流而工作。Mariana Trench 是專門為自動發(fā)現(xiàn)此類問題而設計的，在大多數(shù)情況下，這些問題可能導致嚴重的隱私和安全漏洞。

Facebook 在該工具的文檔中解釋道："默認情況下，Mariana Trench 會分析 dalvik 字節(jié)碼，因此無論是否訪問源代碼都可以正常工作。"

開發(fā)人員還可以通過添加新的規(guī)則和模型生成器來調(diào)整和訓練它，使其專注于敏感數(shù)據(jù)不應該出現(xiàn)的領域，從而關注特定的安全和隱私問題。

Mariana Trench 是繼 2019 年發(fā)布的 Zoncolan 和 2021 年發(fā)布的 Pysa 后，F(xiàn)acebook 公開的第三個代碼分析工具，雖然 Mariana Trench 的工作原理很像 Zoncolan 和 Pysa，但它們?nèi)哚槍Φ念I域各不相同，其中 Zoncolan 和 Pysa 分別用于檢測和防止 Hack 和 Python 代碼中的安全問題，而 Mariana Trench 主要針對 Android 和 Java。

目前 Facebook 已將該項目托管至 GitHub，感興趣的開發(fā)者可以點擊鏈接了解更多詳情。為了幫助開發(fā)者使用該工具，F(xiàn)acebook 還在官網(wǎng)發(fā)布了使用教程。

本文轉自OSCHINA

本文標題：Facebook 開源代碼分析工具 —— Mariana Trench

本文地址：https://www.oschina.net/news/162572/facebook-open-sources-mariana-trench