Facebook 的安全团队本周向开源社区揭晓了一个新的开源项目 ——Mariana Trench,这是一个用于识别 Android 和 Java 应用程序漏洞的开源工具,Facebook 此前一直在公司内部使用
这个以应用安全为重点的工具可以分析数千万行的大型代码库,帮助开发者在代码出现漏洞之前发现漏洞,大大减少交付安全和隐私错误所带来的风险
Mariana Trench 的工作方式:
Mariana Trench 通过分析从 "源"(用户敏感数据,如密码或地理位置)到 "汇"(使用来自于源数据的功能或方法)的信息流而工作。Mariana Trench 是专门为自动发现此类问题而设计的,在大多数情况下,这些问题可能导致严重的隐私和安全漏洞。
Facebook 在该工具的文档中解释道:"默认情况下,Mariana Trench 会分析 dalvik 字节码,因此无论是否访问源代码都可以正常工作。"
开发人员还可以通过添加新的规则和模型生成器来调整和训练它,使其专注于敏感数据不应该出现的领域,从而关注特定的安全和隐私问题。
Mariana Trench 是继 2019 年发布的 Zoncolan 和 2021 年发布的 Pysa 后,Facebook 公开的第三个代码分析工具,虽然 Mariana Trench 的工作原理很像 Zoncolan 和 Pysa,但它们三者针对的领域各不相同,其中 Zoncolan 和 Pysa 分别用于检测和防止 Hack 和 Python 代码中的安全问题,而 Mariana Trench 主要针对 Android 和 Java。
目前 Facebook 已将该项目托管至 Github,为了帮助开发者使用该工具,
Facebook 还在官网发布使用教程