Facebook 的安全團隊本周向開源社群揭曉了一個新的開源項目 ——Mariana Trench,這是一個用于識别 Android 和 Java 應用程式漏洞的開源工具,Facebook 此前一直在公司内部使用
這個以應用安全為重點的工具可以分析數千萬行的大型代碼庫,幫助開發者在代碼出現漏洞之前發現漏洞,大大減少傳遞安全和隐私錯誤所帶來的風險
Mariana Trench 的工作方式:
Mariana Trench 通過分析從 "源"(使用者敏感資料,如密碼或地理位置)到 "彙"(使用來自于源資料的功能或方法)的資訊流而工作。Mariana Trench 是專門為自動發現此類問題而設計的,在大多數情況下,這些問題可能導緻嚴重的隐私和安全漏洞。
Facebook 在該工具的文檔中解釋道:"預設情況下,Mariana Trench 會分析 dalvik 位元組碼,是以無論是否通路源代碼都可以正常工作。"
開發人員還可以通過添加新的規則和模型生成器來調整和訓練它,使其專注于敏感資料不應該出現的領域,進而關注特定的安全和隐私問題。
Mariana Trench 是繼 2019 年釋出的 Zoncolan 和 2021 年釋出的 Pysa 後,Facebook 公開的第三個代碼分析工具,雖然 Mariana Trench 的工作原理很像 Zoncolan 和 Pysa,但它們三者針對的領域各不相同,其中 Zoncolan 和 Pysa 分别用于檢測和防止 Hack 和 Python 代碼中的安全問題,而 Mariana Trench 主要針對 Android 和 Java。
目前 Facebook 已将該項目托管至 Github,為了幫助開發者使用該工具,
Facebook 還在官網釋出使用教程
![9.spark Core 進階2--Cashe[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)