Facebook 的安全團隊本周向開源社區揭曉了一個新的開源項目 —— Mariana Trench，這是一個用于識別 Android 和 Java 應用程序漏洞的開源工具，Facebook 此前一直在公司內部使用。

[[427028]]

這個以應用安全為重點的工具可以分析數千萬行的大型代碼庫，幫助開發者在代碼出現漏洞之前發現漏洞，大大減少交付安全和隱私錯誤所帶來的風險。

Facebook 透露，內部工程師在使用了 Mariana Trench 后，發現了該公司所有應用程序中 50% 以上的安全漏洞。

Mariana Trench 的工作方式：

Mariana Trench 通過分析從 "源"(用戶敏感數據，如密碼或地理位置)到 "匯"(使用來自于源數據的功能或方法)的信息流而工作。Mariana Trench 是專門為自動發現此類問題而設計的，在大多數情況下，這些問題可能導致嚴重的隱私和安全漏洞。

Facebook 在該工具的文檔中解釋道："默認情況下，Mariana Trench 會分析 dalvik 字節碼，因此無論是否訪問源代碼都可以正常工作。"

開發人員還可以通過添加新的規則和模型生成器來調整和訓練它，使其專注于敏感數據不應該出現的領域，從而關注特定的安全和隱私問題。

Mariana Trench 是繼 2019 年發布的 Zoncolan 和 2021 年發布的 Pysa 后，Facebook 公開的第三個代碼分析工具，雖然 Mariana Trench 的工作原理很像 Zoncolan 和 Pysa，但它們三者針對的領域各不相同，其中 Zoncolan 和 Pysa 分別用于檢測和防止 Hack 和 Python 代碼中的安全問題，而 Mariana Trench 主要針對 Android 和 Java。

目前 Facebook 已將該項目托管至 GitHub，感興趣的開發者可以點擊鏈接了解更多詳情。為了幫助開發者使用該工具，Facebook 還在官網發布了使用教程。

本文轉自OSCHINA

本文標題：Facebook 開源代碼分析工具 —— Mariana Trench

本文地址：https://www.oschina.net/news/162572/facebook-open-sources-mariana-trench