Certains articles de veille peuvent faire l'objet de traduction automatique.
Facebook a récemment publié Pysa en open source après son succès avec la sécurité Instagram. L’outil vise spécifiquement les équipes de sécurité facilitant la correction de bogues.
Outil Pysa Open Source de Facebook
Facebook a publié son outil de sécurité Pysa développé en interne.
Basé sur le code open-source du projet Pyre, Facebook a conçu Pysa comme un analyseur de code statique. L’outil recherche spécifiquement les bogues de sécurité, contrairement à la plupart des autres analyseurs.
Facebook a décidé d’ouvrir l’outil après avoir été témoin de son succès dans la sécurité Instagram. L’équipe interne du géant de la technologie a utilisé cet outil pour identifier divers bogues. Partager les détails de l’outil dans un message, a déclaré Facebook,
Pysa nous aide à détecter un large éventail de problèmes. Par exemple, nous l’utilisons pour vérifier si notre code Python utilise correctement certains frameworks internes, qui sont conçus pour empêcher l’accès ou la divulgation des données utilisateur sur la base de politiques de confidentialité techniques. Pysa détecte également les problèmes de sécurité courants des applications Web, comme l’injection XSS et SQL. Comme Zoncolan l’a fait pour le code Hack, Pysa nous a aidés à étendre nos efforts de sécurité applicative pour Python, notamment la base de code qui alimente les serveurs d’Instagram.
En ce qui concerne son fonctionnement, Facebook a révélé qu’il fonctionne de manière similaire à Zoncolan – un autre outil Facebook.
Il suit le flux de données à travers un programme. Finalement, l’outil aide à analyser d’énormes bases de code avec des millions de lignes de codes.
En bref, il construit des résumés en analysant à plusieurs reprises les fonctions et en notant si les données de retour proviennent de la source (point d’origine des données importantes) ou du puits (points où les données source ne doivent pas se terminer). Dans ce dernier cas, l’outil signale le problème.
Pysa disponible sur GitHub
L’outil Pysa est maintenant disponible sur GitHub pour tous. Facebook a partagé de nombreuses définitions avec l’outil lui permettant de fonctionner pour n’importe quel code Python.
Actuellement, l’outil fonctionnera dès la première exécution pour les projets basés sur les frameworks Django et Tornado, car c’est ce que Facebook utilise lui-même.
Néanmoins, les utilisateurs peuvent également modifier un peu le code pour qu’il fonctionne également pour d’autres frameworks.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire