Facebook宣布开源静态分析工具Pysa。这是Instagram上用于检测和修复应用程序庞大Python代码库中错误的一个内部工具,可以自动识别Facebook工程师编写的易受攻击的代码段,然后再将其集成到社交网络的系统中。
Facebook announced open source static analysis tool pysa. This is an internal tool on instagram for detecting and repairing errors in the huge Python code base of applications. It can automatically identify vulnerable code segments written by Facebook engineers, and then integrate them into social network systems.
它的工作原理是在代码运行/编译之前,以静态的形式扫描代码,找出潜在的已知错误模式,然后帮助开发人员标出潜在的问题。Facebook声称Pysa通过不断改进已经成熟;2020年上半年,该工具在Instagram服务器上检测到Python代码44%的安全漏洞。
Pysa是Python Static Analyzer的首字母缩略词,基于Pyre项目的开源代码,可以分析Python应用中的数据流。此外,Pysa还可以检测常见的Web应用安全问题,比如XSS和SQL注入。
Pysa的开发借鉴了Zocolan的经验,Zocolan使用与Zocolan相同的算法进行静态分析,甚至与Zocolan共享部分代码。像Zoncolan一样,Pysa可以跟踪程序中的数据流。Zoncolan是Facebook 2019年8月发布的Hack静态分析器,主要针对类似PHP的编程语言。
Pysa和Zoncolan都可以搜索输入到代码库中的数据的“源”和“接收者”,都可以跟踪代码库中数据的移动方式,找到危险的“接收者”部分,比如可以执行代码或检索敏感用户数据的函数。当发现输入源和危险接收器之间存在连接时,Pysa(和Zoncolan)会提醒开发者进行相应的调查。
此外,Pysa也是为提高速度而构建的,它能够在30分钟到几小时内处理数百万行代码。Pysa的另一个特性则是具有可扩展性,Facebook安全工程师Graham Bleaney称,“因为我们自己的产品使用了开源的Python服务器框架,比如Django和Tornado,所以Pysa可以从 次运行就开始发现使用这些框架的项目的安全问题。而将Pysa用于我们尚未涉及的框架,一般来说只需添加几行配置,告诉Pysa数据进入服务器的位置即可。”
In addition, pysa is built for speed, and can process millions of lines of code in 30 minutes to a few hours. Another feature of pysa is extensibility. Graham bleaney, a Facebook Security Engineer, said, "because our own products use open source Python server frameworks, such as Django and tornado, pysa can find the security problems of projects using these frameworks from the first run. If you use pysa in a framework that we haven't covered yet, you just need to add a few lines of configuration to tell pysa where the data enters the server. "
Facebook宣布清理了三个相互协调的CIB网络
Facebook近日对平台上具有影响力的网络展开了更深入的调查,并且清理了三个涉嫌参与协调的所谓“CIB”网络。其中有两个专门针对美国,第三个网络则面向缅甸用户。鉴于美国总统大选投票仅剩寥寥数日,Facebook此举彰显了该社交平台对于散布错误信息、干预选举、以及操纵用户等行为的不容忍态度。
…
速卖通联盟与TikTok 抖音国际版的引流变现方式
目前TikTok电商带货的转化方式中TiKTOK速卖通/亚马逊联盟是卖货转化比较低成本,又省心的方式,所以今天来聊一聊速卖通联盟与TikTok抖音 …
60大广告商承诺停止在FB上做广告 现在只剩10家在坚持
今年夏天,数十个大品牌从Facebook撤回了广告费用,以抗议该公司对仇恨言论和虚假信息的不当处理。显然,Facebook自那以来已经做了足够多的努力,以重新赢得这些品牌的青睐,而且似乎取得了不错的效果。
…
Facebook 开源 Instagram 安全工具 Pysa
Facebook宣布开源静态分析工具Pysa。这是Instagram上用于检测和修复应用程序庞大Python代码库中错误的一个内部工具,可以自动识别Facebook工程师编写的易受攻击的代码段,然后再将其集成到社交网络的系统中。
…