Facebook的安全团队本周向开源社区公布了一个新的开源项目——MarianaTrench,一个用于识别Android和Java应用程序漏洞的开源工具,Facebook已经使用它由公司内部。这款专注于应用程序安全的工具可以分析数千万行的大型代码库,帮助开发人员在代码中出现漏洞之前发现漏洞,大大降低交付安全和隐私错误的风险。Facebook透露,在使用MarianaTrench后,内部工程师在公司所有应用程序中发现了超过50%的安全漏洞。MarianaTrench的工作原理:MarianaTrench的工作原理是分析从“源”(用户敏感数据,例如密码或地理位置)到“接收器”(使用从源数据派生的函数或方法)的信息流。MarianaTrench专为自动发现此类问题而设计,在大多数情况下会导致严重的隐私和安全漏洞。Facebook在该工具的文档中解释说:“默认情况下,MarianaTrench会分析dalvik字节码,因此它可以在访问或不访问源代码的情况下工作。”开发人员还可以向Tune添加新的规则和模型生成器,并训练它专注于敏感数据不应出现的区域,重点关注特定的安全和隐私问题。MarianaTrench是Facebook继2019年Zoncolan和2021年Pysa之后发布的第三款代码分析工具。虽然MarianaTrench的工作原理与Zoncolan和Pysa非常相似,但三者针对的领域不同。其中,Zoncolan和Pysa分别用于检测和预防Hack和Python代码中的安全问题,而MarianaTrench则主要针对Android和Java。目前,Facebook已经将该项目托管在GitHub上,感兴趣的开发者可以点击链接了解更多详情。为了帮助开发者使用该工具,Facebook还在官网发布了教程。本文转自OSCHINA文章标题:Facebook开源代码分析工具——MarianaTrench本文地址:https://www.oschina.net/news/162572/facebook-open-sources-mariana-trench
