Facebook为Python代码开源静态分析器 使用Python进行SEO的自然语言处理简介 Python是一种很好的全方位的语言为贸易商 如何在Python中使用类 Python对其社区以及更广泛的数据科学应用程序的重要性 Python 3.9计划发布六个alpha,五个beta预览版和两个候选版本 51本最佳Python书籍推荐 Python和Django可以帮助您更快地构建出色的应用程序和网站 将短波天线与RTL-SDR和PYTHON进行比较 不会C语言也可以是资安高手 学好Python就能和骇客大战 Evilnum集团以基于Python的新型RAT瞄准金融科技公司 Python编程:Microsoft和NASA发布学生学习门户 如何在Python中使用if语句 为什么Python不会很快消失 Python编程:微软最新的初学者课程着眼于为NASA项目开发 可视化的Datapane Python工具动手指南 物联网如何在不久的将来改变我们的体验 计算机操作系统的使用率 大脑般的计算机首次亮相 智能电视是印度的未来 小米是印度的先驱 物联网和医疗保健技术融合以提供更好的患者护理 超级电容器Usurp电池技术 OP-ED:第四次工业革命中蓬勃发展 研究显示长期演进(LTE)物联网(IOT)市场稳定增长 BITS Pilani Hyd孵化创业公司开发支持IoT的智能面罩 物联网在航运和海事行业中的作用 基于云的数据库市场2020年研究分析 艾默生以16亿美元收购美国技术软件公司OSI 2020年将提供7种基于分析的健身跟踪软件 新的恶意软件使用Tor和Bittorrent开采加密和窃取资金 数以百万计的WordPress网站正在通过最新的插件错误进行探测和攻击 保护您的网站免受数据泄露的简单方法 多年的物联网黑客攻击,但我们实际上学到了什么 如何在2020年成为不受限制的免费Fire黑客 阿根廷移民:黑客窃取了秘密情报文件 像职业黑客一样,这个少年攻击了学校服务器并强迫在线课程停止 特斯拉模型3:这是黑客在您的屏幕上发现的问题 如果每个人都讨厌面向对象的编程,那么为什么它是如此广泛地展开 新的莫尔黑德天文馆图画书探索了其第一位技术员的故事 Windows和Mac的3个快速提示 DOOM正在运行妊娠测试?程序员通过其他设备尝试 Cookies能解决您的计算机问题吗 Gift在NKU建立了计算机科学专业教授职位 OSU的计算机漏洞暴露了1,700名学生和教职员工的个人信息 NSF计算机与信息科学与工程系副主任于9月11日进行虚拟演讲 终极防御:什么是气隙计算机 2020年医疗保健市场的物联网全球增长分析 给物联网设备用户和制造商的建议 物联网:物联网支出有望反弹 什么是物联网及其运作方式?物联网解释
您的位置:首页 >开发 >

Facebook为Python代码开源静态分析器

需要一个工具来检查基于Python的应用程序的安全性吗?Facebook提供了开源的Pysa(Python静态分析器),该工具可以查看数据如何在代码中流动,并帮助开发人员防止数据流入不应有的地方。

Python静态分析器如何工作

Pysa是一个基于安全性的工具,建立在Pyre之上,Pyre是Facebook针对Python的性能类型检查器。

“ Pysa通过程序跟踪数据流。用户定义了源(重要数据的起源地)和汇(源数据不应终止的地方)。” Facebook安全工程师Graham Bleaney和软件工程师Sinan Cepel解释说。

“ Pysa执行反复的分析以构建摘要,以确定哪些函数从源返回数据,哪些函数具有最终到达接收器的参数。如果Pysa发现源最终连接到接收器,则会报告问题。”

Facebook在内部使用它来检查为Instagram服务器提供动力的(Python)代码,并迅速进行检查。它用于检查开发人员提议的代码更改是否存在安全和隐私问题,并防止将它们引入代码库中,以及检测代码库中的现有问题。

发现的问题将被标记,并且根据其类型,将报告发送给开发人员或安全工程师以将其检出。

您可以从此处获得Pysa,并且可以使用许多已经开发的定义来帮助它查找安全问题。

“由于我们将Django和Tornado之类的开源Python服务器框架用于我们自己的产品,因此Pysa可以从一开始就使用这些框架开始在项目中发现安全问题。将Pysa用于我们尚未涉及的框架,通常就像添加几行配置以告诉Pysa数据进入服务器的位置一样简单。”两位工程师补充说。

该工具的局限性和绊脚石

Pysa不能检测所有安全或隐私问题,而只能检测与数据流相关的安全问题。而且,它无法检测所有与数据流相关的问题,因为Python编程语言非常灵活和动态(允许代码导入,更改函数调用操作等)。

最后,使用它的人可以选择他们可以容忍多少假阳性和阴性。

“由于发现安全问题的重要性,我们构建Pysa的目的是避免误报并尽可能多地捕获问题。但是,要减少误报,可能需要权衡利弊。太多的误报会反过来导致机敏的疲劳,并冒着噪音遗漏实际问题的风险。”工程师解释说。

通过使用消毒剂以及手动添加的功能和自动功能,可以减少误报的次数。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。