Facebook 開源 Instagram 安全工具 Pysa，可用于大型代碼庫

技術(shù)編輯：徐九丨發(fā)自：思否編輯部

近日，F(xiàn)acebook 宣布開源靜態(tài)分析工具 Pysa。這是 Instagram 上用于檢測(cè)和修復(fù)應(yīng)用程序龐大 Python 代碼庫中錯(cuò)誤的一個(gè)內(nèi)部工具，可以自動(dòng)識(shí)別 Facebook 工程師編寫的易受攻擊的代碼段，然后再將其集成到社交網(wǎng)絡(luò)的系統(tǒng)中。

其工作原理是在代碼運(yùn)行/編譯之前，以靜態(tài)的形式掃描代碼、查找潛在已知的錯(cuò)誤模式、然后幫助開發(fā)者標(biāo)注出潛在的問題。

Facebook 表示該工具是內(nèi)部開發(fā)，通過不斷完善現(xiàn)在已經(jīng)成熟。Facebook 表示在 2020 年上半年，Pysa 在 Instagram 的服務(wù)器端 Python 代碼中檢測(cè)到了所有安全漏洞中的 44％。

Pysa 是什么？

Pysa 是 Python Static Analyzer 的首字母縮寫，其基于 Pyre 項(xiàng)目的開源代碼構(gòu)建，可以對(duì) Python 應(yīng)用程序中的數(shù)據(jù)流進(jìn)行分析。此外，Pysa 還可以檢測(cè)常見的 Web 應(yīng)用安全問題，例如 XSS 和 SQL 注入。

其實(shí) Pysa 的概念并不新鮮，該工具的開發(fā)也借鑒來 Zoncolan。Zoncolan 是 Facebook 于 2019 年 8 月發(fā)布的用于Hack的靜態(tài)分析器，主要面向 PHP。

Pysa 和 Zoncolan 都在尋找“源”（輸入代碼庫的數(shù)據(jù)）和“接收器”（數(shù)據(jù)結(jié)束）。兩種工具都可以跟蹤數(shù)據(jù)在代碼庫中的移動(dòng)方式，并找到危險(xiǎn)的“接收器”，例如可以執(zhí)行代碼或檢索敏感用戶數(shù)據(jù)的函數(shù)。

此外，Pysa 也是為提高速度而構(gòu)建的，它能夠在 30 分鐘到幾小時(shí)內(nèi)處理數(shù)百萬行代碼。Pysa 的另一個(gè)特性則是具有可擴(kuò)展性，F(xiàn)acebook 安全工程師Graham Bleaney 稱，“因?yàn)槲覀冏约旱漠a(chǎn)品使用了開源的 Python 服務(wù)器框架，比如 Django 和 Tornado，所以 Pysa 可以從第一次運(yùn)行就開始發(fā)現(xiàn)使用這些框架的項(xiàng)目的安全問題。而將 Pysa 用于我們尚未涉及的框架，一般來說只需添加幾行配置，告訴 Pysa 數(shù)據(jù)進(jìn)入服務(wù)器的位置即可?！?/span>

專為安全團(tuán)隊(duì)開發(fā)

該工具的背后是 Facebook 安全團(tuán)隊(duì)。該工具是圍繞安全團(tuán)隊(duì)的需求而構(gòu)建的。

盡管大多數(shù)靜態(tài)分析工具都在尋找各種各樣的錯(cuò)誤，但 Pysa 是專門為尋找與安全相關(guān)的問題而開發(fā)的。更具體地說，Pysa 跟蹤“通過程序的數(shù)據(jù)流”。

數(shù)據(jù)如何通過程序代碼流動(dòng)非常重要。如今，大多數(shù)安全漏洞利用都利用了未經(jīng)過濾或不受控制的數(shù)據(jù)流。例如，遠(yuǎn)程代碼執(zhí)行（RCE）是當(dāng)今最嚴(yán)重的錯(cuò)誤類型之一。

專為速度和大型代碼庫而設(shè)計(jì)

對(duì)于這類工具，如果要花費(fèi)數(shù)天時(shí)間才能夠掃描整個(gè)代碼庫，那么對(duì)于安全的防護(hù)能力就會(huì)大打折扣。

因此，Pysa 的構(gòu)建過程中也考慮來速度的因素，能夠在 30 分鐘到幾小時(shí)之內(nèi)遍歷數(shù)百萬行代碼。這樣，Pysa 可以近乎實(shí)時(shí)地發(fā)現(xiàn)錯(cuò)誤，并使開發(fā)團(tuán)隊(duì)可以放心地將該工具集成到其常規(guī)工作流程和例程中，而不必?fù)?dān)心使用它可能會(huì)延遲其代碼的發(fā)布或未達(dá)到嚴(yán)格的期限。

GitHub 地址：

https://github.com/facebook/pyre-check/