Facebook 开源代码分析工具 —— Mariana Trench

Facebook 的开源安全团队本周向开源社区揭晓了一个新的开源项目 —— Mariana Trench，这是代码一个用于识别 Android 和 Java 应用程序漏洞的开源工具，Facebook 此前一直在公司内部使用。分析

这个以应用安全为重点的工具工具可以分析数千万行的大型代码库，帮助开发者在代码出现漏洞之前发现漏洞，开源大大减少交付安全和隐私错误所带来的代码风险。

Facebook 透露，分析内部工程师在使用了 Mariana Trench 后，工具发现了该公司所有应用程序中 50% 以上的开源安全漏洞。

Mariana Trench 的代码工作方式：

Mariana Trench 通过分析从 "源"(用户敏感数据，如密码或地理位置)到 "汇"(使用来自于源数据的服务器租用分析功能或方法)的信息流而工作。Mariana Trench 是工具专门为自动发现此类问题而设计的，在大多数情况下，开源这些问题可能导致严重的代码隐私和安全漏洞。

Facebook 在该工具的分析文档中解释道："默认情况下，Mariana Trench 会分析 dalvik 字节码，因此无论是否访问源代码都可以正常工作。"

开发人员还可以通过添加新的规则和模型生成器来调整和训练它，使其专注于敏感数据不应该出现的领域，从而关注特定的安全和隐私问题。服务器托管

Mariana Trench 是继 2019 年发布的 Zoncolan 和 2021 年发布的 Pysa 后，Facebook 公开的第三个代码分析工具，虽然 Mariana Trench 的工作原理很像 Zoncolan 和 Pysa，但它们三者针对的领域各不相同，其中 Zoncolan 和 Pysa 分别用于检测和防止 Hack 和 Python 代码中的安全问题，而 Mariana Trench 主要针对 Android 和 Java。

目前 Facebook 已将该项目托管至 GitHub，感兴趣的开发者可以点击链接了解更多详情。为了帮助开发者使用该工具，Facebook 还在官网发布了使用教程。

本文转自OSCHINA

本文标题：Facebook 开源代码分析工具 —— Mariana Trench

本文地址：https://www.oschina.net/news/162572/facebook-open-sources-mariana-trench

很赞哦!（62555）