Facebook宣布开源静态分析工具Pysa。这是Instagram上用于检测和修复应用程序庞大Python代码库中错误的一个内部工具,可以自动识别Facebook工程师编写的易受攻击的代码段,然后再将其集成到社交网络的系统中。
其工作原理是在代码运行/编译之前,以静态的形式扫描代码、查找潜在已知的错误模式、然后帮助开发者标注出潜在的问题。Facebook声称,Pysa现已通过持续改进达到了成熟;在2020上半年,该工具在Instagram服务器端的Python代码中检测到了44%的安全漏洞。
Pysa是Python Static Analyzer的首字母缩写,其基于Pyre项目的开源代码构建,可以对Python应用程序中的数据流进行分析。此外,Pysa还可以检测常见的Web应用安全问题,例如XSS和SQL注入。
Pysa的开发汲取了Zoncolan的经验,其使用了与Zoncolan相同的算法执行静态分析,甚至与Zoncolan共享了一些代码。像Zoncolan一样,Pysa可追踪程序中的数据流。Zoncolan是Facebook于2019年8月发布的用于Hack的静态分析器,主要面向类似于PHP的编程语言。
Pysa和Zoncolan都可对输入代码库的数据“源”和“接收器”进行查找,且都可以跟踪数据在代码库中的移动方式,并找到危险的“接收器”部分,例如可以执行代码或检索敏感用户数据的函数。当在输入源和危险的接收器之间发现连接时,Pysa(和Zoncolan)就会向开发者发出警示,以便其展开相应的调查。
此外,Pysa也是为提高速度而构建的,它能够在30分钟到几小时内处理数百万行代码。Pysa的另一个特性则是具有可扩展性,Facebook安全工程师Graham Bleaney称,“因为我们自己的产品使用了开源的Python服务器框架,比如Django和Tornado,所以Pysa可以从第一次运行就开始发现使用这些框架的项目的安全问题。而将Pysa用于我们尚未涉及的框架,一般来说只需添加几行配置,告诉Pysa数据进入服务器的位置即可。”
厦门商城系统开发 很多shopee新手店铺开不了单的原因都有哪些呢?今天带大家一起捋一捋。 首先给大家普及网店出单的逻辑,也就是怎么样才会出单。 店里上架的商品首先是被买家看到,你的商品被多少人看到,这就是你商品的一个曝光度;看到你的商品以后,有多少人点进去看…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
