The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Facebook открыл код статического анализатора Mariana Trench"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от opennews (??), 30-Сен-21, 13:10 
Facebook представил новый открытый статический анализатор Mariana Trench, нацеленный на выявление уязвимостей в приложениях для платформы Android и программах на языке Java. Предоставляется возможность анализа проектов без исходных текстов, для которых доступен только байткод для виртуальной машины Dalvik. Из достоинств также выделяется очень высокая скорость выполнения (анализ нескольких миллионов строк кода занимает около 10 секунд), что позволяет примять...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55888

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Facebook открыл код статического анализатора Mariana Trench"  –2 +/
Сообщение от InuYasha (??), 30-Сен-21, 13:11 
"Big business работает на Java" - говорили они... Ан, вот, настоящий performance-critical big-biz почему-то плюшевый. )
Ответить | Правка | Наверх | Cообщить модератору

3. "Facebook открыл код статического анализатора Mariana Trench"  +1 +/
Сообщение от InuYasha (??), 30-Сен-21, 13:12 
Жаль только, что анализатор не для самих плюсов. Но для них и так анализаторы есть.
Ответить | Правка | Наверх | Cообщить модератору

8. "Facebook открыл код статического анализатора Mariana Trench"  +5 +/
Сообщение от Аноним (8), 30-Сен-21, 13:35 
Это для того, чтобы сам себя не мог проверить. Если Анализатор может проверить и сам себя, то выявленные ошибки на кого писать?
А если серьезно надо отличать софт используемый бизнесом и софт на котором делается бизнес.
Требования к ним могут оказаться совсем разными.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Facebook открыл код статического анализатора Mariana Trench"  –7 +/
Сообщение от Аноним (-), 30-Сен-21, 13:29 
Стал неконкурентоспособным перед свободными решениями, вот и решили открыть код.
Ответить | Правка | Наверх | Cообщить модератору

7. "Facebook открыл код статического анализатора Mariana Trench"  +8 +/
Сообщение от QwertyReg (ok), 30-Сен-21, 13:32 
Типичная реакция "свободного сообщества". Корпорация открывает код, фактически, дарит коммерческий продукт, написанный профессионалами, всем желающим, но наших фанатиков не проведёшь, тут есть подвох, нам подачек не надо. Правда, фанатик скромно умалчивает, что это за "свободное решение" такое и также предпочитает не замечать, что весь Linux построен на подобных "подачках", начиная от CUPS и заканчивая Firefox.
Ответить | Правка | Наверх | Cообщить модератору

49. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Аноним (49), 03-Окт-21, 02:33 
знаем мы ваших профессионалов
Ответить | Правка | Наверх | Cообщить модератору

10. "Facebook открыл код статического анализатора Mariana Trench"  +3 +/
Сообщение от Аноним (10), 30-Сен-21, 13:48 
> перед свободными решениями

Не будем говорить о конкурентоспособности, но таковые существуют ли вообще хотя бы?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

18. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Аноним (18), 30-Сен-21, 14:50 
Странно, а `infer` разве не от facebook? Зачем им ещё один анализатор?
Ответить | Правка | Наверх | Cообщить модератору

24. "Facebook открыл код статического анализатора Mariana Trench"  +2 +/
Сообщение от Аноним (24), 30-Сен-21, 15:52 
Вы логотип видели? Думаете велосипед там просто так нарисован?
Ответить | Правка | Наверх | Cообщить модератору

19. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от mos87 (ok), 30-Сен-21, 15:24 
там протесты уже идут? против названия
Ответить | Правка | Наверх | Cообщить модератору

34. "Facebook открыл код статического анализатора Mariana Trench"  +1 +/
Сообщение от ip1982 (ok), 30-Сен-21, 21:06 
Mariana Trench - это Марианская впадина.
Ответить | Правка | Наверх | Cообщить модератору

21. "Facebook открыл код статического анализатора Mariana Trench"  –1 +/
Сообщение от Аноним (24), 30-Сен-21, 15:41 
>CMake 3.19.3 or higher is required.  You are running version 3.18.4

В Ubuntu, как всегда, CMake протухший

Ответить | Правка | Наверх | Cообщить модератору

40. "Facebook открыл код статического анализатора Mariana Trench"  –1 +/
Сообщение от mos87 (ok), 01-Окт-21, 07:53 
но ведь это только autotools протухают и особо одарённые завязываются на их конкретные версии

да ведь?! смузихлёбы не могут нам врать!

или смузи уже перешли на нинзи мезоны и тд бггг

Ответить | Правка | Наверх | Cообщить модератору

22. "Facebook открыл код статического анализатора Mariana Trench"  –7 +/
Сообщение от pashev.me (?), 30-Сен-21, 15:41 
То есть, то что делает борроу-чекер в расте 😏
Ответить | Правка | Наверх | Cообщить модератору

27. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Ordu (ok), 30-Сен-21, 17:13 
Не, они отслеживают пути данных. Борроу-чекер не запрещает взять пароль и скинуть его в лог.
Ответить | Правка | Наверх | Cообщить модератору

29. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Аноним (24), 30-Сен-21, 18:43 
Но как программа узнает, что пароль - это пароль, без предварительной аннотации. Машинным обучением?
Ответить | Правка | Наверх | Cообщить модератору

30. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Ordu (ok), 30-Сен-21, 18:48 
> Но как программа узнает, что пароль - это пароль, без предварительной аннотации.
> Машинным обучением?

По источнику данных. Пароль не берётся ниоткуда.

Ответить | Правка | Наверх | Cообщить модератору

31. "Facebook открыл код статического анализатора Mariana Trench"  –1 +/
Сообщение от pashev.me (?), 30-Сен-21, 19:23 
Приведи пример, солнышко.

Как насчёт опечаток

username = getPassword();
password = getUsername();


Даже в формах на сайтах так можно накосячить.

Ответить | Правка | Наверх | Cообщить модератору

32. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Ordu (ok), 30-Сен-21, 19:46 
> Приведи пример, солнышко.

Я не знаю, откуда там программы на андроиде извлекают пароли, и какие API для этого есть.

> Как насчёт опечаток
> username = getPassword();
> password = getUsername();

Что это за getPassword и getUsername? Откуда они тягают пароль и пользователя? Как они это делают? К каким-то API обращаются? Давай сюда более полный пример, без этого никак: анализ кода идёт на уровне машинных кодов, соответственно, тебе в примере всё надо свести к границам между машинным кодом и внешним миром.

Или хочешь я пример приведу?

Вот пишешь ты C'шную программу, которая запрашивает пароль у пользователя, и делаешь libc'овый вызов getpass. Этот getpass в базе данных анализатора, который палит -- "ага, возвращаемый указатель -- это указатель на пароль", и дальше отслеживает этот указатель, обращая внимания на все strdup, strcpy и прочие.

Ответить | Правка | Наверх | Cообщить модератору

35. "Facebook открыл код статического анализатора Mariana Trench"  +1 +/
Сообщение от ip1982 (ok), 30-Сен-21, 21:07 
> Как они это делают? К каким-то API обращаются? Давай сюда более полный пример

Не, не, Mariana Trench. Давай сама :)

Ответить | Правка | Наверх | Cообщить модератору

37. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Ordu (ok), 30-Сен-21, 21:16 
Выше приведён пример, читай внимательнее.
Ответить | Правка | Наверх | Cообщить модератору

39. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Карабьян (?), 01-Окт-21, 06:18 
Дайте пример (название) такого сишного анализатора
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

33. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Аноним (24), 30-Сен-21, 19:46 
Ну и как? Один пароль прочитали из текстового конфига. Другой - из текстового поля обычного, не для паролей. Потому что поле для паролей разраб сделал кастомное из обычного текстового. И имён переменных внутри apk нет, их сожрал оптимизатор. А имена, которые не сожрал оптимизатор, сожрал proguard.
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

36. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Ordu (ok), 30-Сен-21, 21:15 
> Ну и как? Один пароль прочитали из текстового конфига. Другой - из
> текстового поля обычного, не для паролей. Потому что поле для паролей
> разраб сделал кастомное из обычного текстового. И имён переменных внутри apk
> нет, их сожрал оптимизатор. А имена, которые не сожрал оптимизатор, сожрал
> proguard.

И чё? Ты ждёшь от статического анализатора, чтобы он тебе 0% false positive'ов находил, и 0% false negative'ов? Зря ждёшь, не дождёшься, таких не бывает.

Ответить | Правка | Наверх | Cообщить модератору

38. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Аноним (38), 01-Окт-21, 03:25 
А как же открытый статический анализатор для php? Неужели слились?
Ответить | Правка | Наверх | Cообщить модератору

41. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от anonymous (??), 01-Окт-21, 10:28 
Как одно другому мешает?
Ответить | Правка | Наверх | Cообщить модератору

42. "Facebook открыл код статического анализатора Mariana Trench"  –1 +/
Сообщение от pashev.me (?), 01-Окт-21, 12:32 
В Расте и Хаскеле очень просто предотвратить например вывод секретов в лог - не реализовывать соответствующий трейт или класс. Или реализовывать так, чтобы секреты не выводились или выводились звёздочками.

То есть, проблема решается дёшево и сердито. Безо всяких анализаторов.

Ответить | Правка | Наверх | Cообщить модератору

43. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от inferrna (ok), 01-Окт-21, 13:40 
Мдэ. Пароль у тебя в String'ах, написал разок
let pass = dbg!(getPassword());

и забыл. А если пароли по специальным структурам распихивать, то это и на жабе можно секурно сделать.

Ответить | Правка | Наверх | Cообщить модератору

45. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Alladin (?), 01-Окт-21, 19:51 
Поправочка, не в String, а в структуру с полем String.

Добавляем нужную обвязку для звездочек в данную структуру, некоторые надуманные защиты в виде автоперезаписи String при drop структуры и все ок.

Ответить | Правка | Наверх | Cообщить модератору

44. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Аноним (44), 01-Окт-21, 17:43 
И снова не раст)))
Ответить | Правка | Наверх | Cообщить модератору

46. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от Alladin (?), 01-Окт-21, 19:52 
Да, бо в расте это давно есть и не одно, а целое множество..
Ответить | Правка | Наверх | Cообщить модератору

50. "Facebook открыл код статического анализатора Mariana Trench"  +/
Сообщение от anonymous (??), 03-Окт-21, 12:46 
Что сказать-то хотели? Да, в мире есть не только Rust. Это для вас новость?
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру