一起來了解!Pysa這個臉書開源的Python安全與隱私工具!
又有個方法可以檢查自己的 Python 程式碼!一起來看看臉書這次開源的工具~ ▲ Pysa 檢測 Python 程式碼中安全漏洞的官方說明影片 Facebook 近日開源了一個用於檢測 Python 程式碼中安全漏洞的自動化工具「Pysa」。該工具最初是用來保護旗下的 Instagram。 Pysa 為「 Python Static Analyzer」的縮寫,是 Python 靜態分析工具的意思,與另一套同名的勒索軟件 Pysa 毫無關係──希望讀者別把這兩者混為一談。 Pysa 專門用於追蹤大規模的 「 Python 代碼庫──如驅動 Instagram 的 Python 程式碼──中的潛在安全漏洞。 這套工具會在代碼運行 / 編譯之前,以靜態模式掃描程式碼,著眼於數據流經系統的方式,查找潛在已知的錯誤模式、然後幫助開發者標註出潛在的問題: 安全漏洞 Facebook 資安工程師 Graham Bleaney 和 Sinan Cepel 寫道:「分析數據流是非常管用的,因為許多安全和隱私問題,都可被建模為數據而流入不該進入的地方。」 舉例來說,遠端代碼執行的漏洞,會被視為一般的用戶輸入,而到達系統程式碼內未經授權的部分。 Facebook 表示:在 2020 年的前半年,Pysa 就偵測到有 44% 的安全漏洞,是藏在 Instagram 伺服器端的 Python 代碼中。 Pysa 是基於開源代碼 Pyre 項目而建立的。Pyre 項目本是用來提高 Python 程式碼的品質的自動化工具,經過特別修改以協助發現安全漏洞。 去年,Facebook 就有推出了一個類似的工具 Zoncolan,該工具是用於 Hack 語言 (一種類 PHP 語言,用於 Facebook 應用程序的主要代碼庫) 中尋找安全漏洞。 無論是 Pysa 還是 Zoncolan,掃描程式均會尋找潛在危險的資料型態。這些資料型態可能會利用漏洞以允許跨網站指令碼攻擊 (XSS)、遠端程式碼攻擊、SQL 注入或用戶資料外洩等。當掃描到這些有害的數據後,即會通知程式開發人員。 及時檢查 「就像 Zoncolan 用於 Facebook...