Confira !!
O Facebook abriu o código da sua ferramenta interna Pysa,que é usada no Instagram para fazer a detecção e correção de bugs na sua enorme base de códigos que é escrita em Python do aplicativo.
O Pysa identifica automaticamente os trechos de código escritos pelos engenheiros do Facebook que são vulneráveis antes de serem integrados aos sistemas da rede social.
O Pysa é uma ferramenta de análise estática, ou seja ela funciona escaneando o código de uma forma “estática” antes que o código seja compilado, procurando padrões comuns que geralmente são observados em bugs e sinaliza os possíveis casos de problemas no código.
O Pysa foi desenvolvido internamente pelo Facebook e segundo a afirmação da empresa ele agora chegou a maturidade devido a sua melhoria contínua. segundo o Facebook, o Pysa no primeiro sementre de 2020, foi capaz de detectar 44% de todos os bugs de segurança no código Python do lado do servidor do Instagram.
O Pysa foi exclusivamente feita para fazer uma análsie no código do Python epor esse motivo existem várias limitações para onde essa ferramenta pode ser usada, mas se levarmosem conta que a lingagem Pyhton está bastante popular hoje em dia o uso da ferramenta a torna bastante útil.
Detectando problemas na base de Código do Python
O Pysa faz a detecção de problemas de segurança fazendo o rastreamento do fluxo de dados por meio de um aplicativo e faz a verificação para saberse ele vai termninar em algum lugar aonde não deveria.
Ex: os desenvolvedores podem usar o Pysa para fazer a verificação da entrada que um usuário insere em um formulário de site público é enviada para o banco de dados de back-end diretamente, sem ser digitalizada. Ajudando a fazer a identificação de lacunas que os hackers podem manipular para injetar código malicioso no banco de dados do aplicativo.
Pode parecer bonito, mas na verdade não é, pois os dados nem sempre seguem uma rota direta dentro de um aplicativo, e qualquer entrada que é inserida em um formulário de site pode ter que passar por vários componentes antes de chegar ao banco de dados de back-end que é vulnerável.
Sendo assim, nesses casos encontrar o ponto fraco de segurança pode ser bastante difícil pois isso geralmente acontece na base de código complexa de plataformas maiores que possuem um grabde número de componentes.
Objetivando resolver esse problema, o Pysa faz a aálise decódigo camada por camada realizando “rodadas iterativas de análise para construir resumos para determinar quais funções retornam dados de uma fonte e quais funções têm parâmetros que eventualmente alcançam um coletor”
Imagem: Facebook
O Pysa, foi ajustado após meses de testes internos para encontrar alguma vulnerabilidade no código específico para os problemas de segurança comuns, como script entre sites, execuções remotas de código, injeções de SQL, etc.
Pysa- Rapidez em grandes bases de dados
O Pysa foi constuído para funcionar com rapidez e também com a capacidade de percorrer milhões de linhas de código em qualquer lugar em um tempo entre 30 minutos ou horas. Por esse motivo, o Pysa identifica os bugs quase que em tempo real.
Por esse motivo, ele ajuda as equipes de desenvolvedores do Facebook a se sentirem seguras e confiantes sobre o uso dessa ferramenta nos seus fluxos de trabalho e rotinas regulares, sem a preocupação se isso atrasaria os prazos de entrega do código.
Para sabe rmais sobre o Pysa, clique aqui.
Até a próxima !!
Nenhum comentário:
Postar um comentário