|
Facebookのセキュリティチームは今週、新たなオープンソースプロジェクト「Mariana Trench」を発表した。これはFacebookが以前社内で使用していたAndroidおよびJavaアプリケーションの脆弱性を特定するオープンソースツールだ。
このアプリケーション セキュリティに重点を置いたツールは、数千万行に及ぶ大規模なコードベースを分析できるため、開発者はコードに脆弱性が現れる前にそれを発見でき、セキュリティやプライバシーのエラーに伴うリスクを大幅に軽減できます。 Facebookは、社内エンジニアがマリアナ海溝を利用した後、同社の全アプリケーションの50%以上にセキュリティ上の脆弱性を発見したことを明らかにした。 マリアナ海溝の作業方法:Mariana Trenchは、「ソース」(パスワードや位置情報などの機密性の高いユーザーデータ)から「シンク」(ソースからのデータを利用する機能やメソッド)への情報の流れを分析することで機能します。Mariana Trenchは、多くの場合深刻なプライバシーおよびセキュリティの脆弱性につながる可能性のあるこの種の問題を自動的に検出するように特別に設計されています。 Facebook はツールのドキュメントで次のように説明している。「デフォルトでは、Mariana Trench は Dalvik バイトコードを分析するため、ソースコードにアクセスするかどうかに関係なく正常に動作します。」 開発者は、新しいルールやモデル ジェネレーターを追加して調整およびトレーニングし、機密データが存在すべきでない領域に焦点を当てることにより、特定のセキュリティとプライバシーの問題に対処することもできます。 Mariana Trenchは、Facebookが2019年のZoncolan、2021年のPysaに続く、3番目に公開されたコード分析ツールです。Mariana TrenchはZoncolanやPysaと同様の動作をしますが、対象とする領域は異なります。ZoncolanとPysaはそれぞれハッキングとPythonコードのセキュリティ問題の検出と防止に使用されますが、Mariana Trenchは主にAndroidとJavaを対象としています。 Facebookは現在、このプロジェクトをGitHubでホストしており、興味のある開発者はリンクをクリックして詳細を確認できます。開発者がツールを使いやすくするために、Facebookは公式ウェブサイトで使用方法のチュートリアルも公開しています。 この記事はOSCHINAから転載したものです。 記事タイトル: Facebookオープンソースコード解析ツール – マリアナ海溝 この記事のアドレス: https://www.oschina.net/news/162572/facebook-open-sources-mariana-trench |
