Accueil › Disaster RecoveryFacebook Open-Sources ‘Mariana Trench’ Code Analysis Tool Par Ionut Arghire le 29 septembre 2021 Tweet L’équipe de sécurité de Facebook a levé mercredi le rideau sur Mariana Trench, un outil open source qu’elle utilise en interne pour identifier les vulnérabilités Applications Android et Java. Nommé d’après la fosse océanique la plus profonde de la Terre, Facebook a construit Mariana Trench en interne pour gérer l’analyse des applications à grande échelle, afin de réduire considérablement le risque d’erreurs de sécurité et de confidentialité dans la production. Conçu pour automatiser l’analyse de code, il s’agit du troisième outil d’analyse statique et dynamique que Facebook a rendu public, après la sortie de Zoncolan et Pysa en 2019 et 2021. L’outil (disponible sur Github) peut scanner de grandes bases de code mobiles pour identifier les failles potentielles sur pull request et a déjà été formé par les ingénieurs en sécurité et logiciels de Facebook. Facebook a déclaré que Mariana Trench fonctionne un peu comme Zoncolan et Pysa (qui ciblent respectivement le code Hack et Python), la principale différence étant son optimisation pour les applications Android et Java (via l’analyse de bytecode Dalvik). Selon Facebook, l’outil peut être personnalisé pour rechercher uniquement des vulnérabilités spécifiques, même dans de grandes bases de code, en définissant simplement des règles pour lui dire d’où viennent les données et où elles ne devraient pas aller.
[READ: Microsoft Introduces Free Source Code Analyzer ]
“Une règle pourrait spécifier, par exemple, que nous voulons trouver des redirections d’intention (problèmes qui permettent aux attaquants d’intercepter des données sensibles) en définissant une règle qui nous montre toutes les traces des sources ‘contrôlées par l’utilisateur’ vers un récepteur de ‘redirection d’intention’, », a déclaré le géant des médias sociaux. Dans le cadre d’une approche plus large de défense en profondeur de Facebook, l’outil s’appuie sur une interprétation abstraite (méthode d’analyse statique) pour identifier les chemins possibles de chaque source à son puits. Les résultats produits par Mariana Trench peuvent être examinés et analysés à l’aide d’un outil de traitement autonome appelé Static Analysis Post Processor (SAPP), que Facebook a détaillé pour la première fois lors de la DefCon l’année dernière et qui a été conçu pour « démontrer visuellement comment les données peuvent potentiellement circuler de la source au puits afin de il est plus facile pour les experts d’évaluer rapidement s’ils sont d’accord avec l’évaluation de l’outil. En illustrant le flux de données étape par étape, SAPP permet aux ingénieurs de sécurité de parcourir facilement les chemins possibles. Cependant, il peut également regrouper des traces matériellement similaires et permettre aux ingénieurs de filtrer et de rechercher dans les résultats. Facebook a publié un tutoriel pour aider les ingénieurs à démarrer avec l’outil. Connexes : Outil d’analyse des sources ouvertes de Facebook pour le code Python Connexes : Microsoft présente un analyseur de code source gratuit Zero Trust Tech Deal Implant de cyberespionnage fourni via un détournement de DNS gouvernemental ciblé Comment repérer un praticien de la sécurité inefficace Annonce des récompenses pour les plugins du scanner de sécurité Tsunami La CISA met en garde contre une faille de la caméra Hikvision alors que les États-Unis visent à débarrasser les réseaux chinois de l’équipement à la recherche de logiciels malveillants aux mauvais endroits ? Première étape pour les 25 prochaines années d’Internet : ajouter de la sécurité au DNS Tattle Tale : ce que votre ordinateur dit de vous Soyez en mesure d’agir grâce à la cybersécurité Un rapport sur la connaissance de la situation montre des industries fortement réglementées laissant les applications de réseautage social fonctionner à plein régime 2010, une excellente année pour Soyez un escroc. Ne laissez pas le DNS être votre point de défaillance unique Comment identifier les logiciels malveillants en un clin d’œil Définir et débattre de la cyberguerre Les cinq A qui rendent la cybercriminalité si attrayante Comment se défendre contre les attaques DDoS Les budgets de sécurité ne correspondent pas aux menaces Anycast – Trois raisons pour lesquelles votre Le réseau DNS devrait l’utiliser L’évolution de l’entreprise étendue : stratégies de sécurité pour les organisations avant-gardistes utilisant le DNS dans l’entreprise étendue : c’est une entreprise risquée .