Facebook представил новый открытый статический анализатор Mariana Trench, нацеленный на выявление уязвимостей в приложениях для платформы Android и программах на языке Java. Предоставляется возможность анализа проектов без исходных текстов, для которых доступен только байткод для виртуальной машины Dalvik. Из достоинств также выделяется очень высокая скорость выполнения (анализ нескольких миллионов строк кода занимает около 10 секунд), что позволяет примять...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55888

• Facebook открыл код статического анализатора Mariana Trench,InuYasha, 13:11 , 30-Сен-21
  • Facebook открыл код статического анализатора Mariana Trench,InuYasha, 13:12 , 30-Сен-21
  • Facebook открыл код статического анализатора Mariana Trench,Аноним, 13:35 , 30-Сен-21
• Facebook открыл код статического анализатора Mariana Trench,Аноним, 13:29 , 30-Сен-21
  • Facebook открыл код статического анализатора Mariana Trench,QwertyReg, 13:32 , 30-Сен-21
    • Facebook открыл код статического анализатора Mariana Trench,Аноним, 02:33 , 03-Окт-21
  • Facebook открыл код статического анализатора Mariana Trench,Аноним, 13:48 , 30-Сен-21
• Facebook открыл код статического анализатора Mariana Trench,Аноним, 14:50 , 30-Сен-21
  • Facebook открыл код статического анализатора Mariana Trench,Аноним, 15:52 , 30-Сен-21
• Facebook открыл код статического анализатора Mariana Trench,mos87, 15:24 , 30-Сен-21
  • Facebook открыл код статического анализатора Mariana Trench,ip1982, 21:06 , 30-Сен-21
• Facebook открыл код статического анализатора Mariana Trench,Аноним, 15:41 , 30-Сен-21
  • Facebook открыл код статического анализатора Mariana Trench,mos87, 07:53 , 01-Окт-21
• Facebook открыл код статического анализатора Mariana Trench,pashev.me, 15:41 , 30-Сен-21
  • Facebook открыл код статического анализатора Mariana Trench,Ordu, 17:13 , 30-Сен-21
    • Facebook открыл код статического анализатора Mariana Trench,Аноним, 18:43 , 30-Сен-21
      • Facebook открыл код статического анализатора Mariana Trench,Ordu, 18:48 , 30-Сен-21
        • Facebook открыл код статического анализатора Mariana Trench,pashev.me, 19:23 , 30-Сен-21
          • Facebook открыл код статического анализатора Mariana Trench,Ordu, 19:46 , 30-Сен-21
            • Facebook открыл код статического анализатора Mariana Trench,ip1982, 21:07 , 30-Сен-21
              • Facebook открыл код статического анализатора Mariana Trench,Ordu, 21:16 , 30-Сен-21
            • Facebook открыл код статического анализатора Mariana Trench,Карабьян, 06:18 , 01-Окт-21
        • Facebook открыл код статического анализатора Mariana Trench,Аноним, 19:46 , 30-Сен-21
          • Facebook открыл код статического анализатора Mariana Trench,Ordu, 21:15 , 30-Сен-21
• Facebook открыл код статического анализатора Mariana Trench,Аноним, 03:25 , 01-Окт-21
  • Facebook открыл код статического анализатора Mariana Trench,anonymous, 10:28 , 01-Окт-21
• Facebook открыл код статического анализатора Mariana Trench,pashev.me, 12:32 , 01-Окт-21
  • Facebook открыл код статического анализатора Mariana Trench,inferrna, 13:40 , 01-Окт-21
    • Facebook открыл код статического анализатора Mariana Trench,Alladin, 19:51 , 01-Окт-21
• Facebook открыл код статического анализатора Mariana Trench,Аноним, 17:43 , 01-Окт-21
  • Facebook открыл код статического анализатора Mariana Trench,Alladin, 19:52 , 01-Окт-21
  • Facebook открыл код статического анализатора Mariana Trench,anonymous, 12:46 , 03-Окт-21

"Big business работает на Java" - говорили они... Ан, вот, настоящий performance-critical big-biz почему-то плюшевый. )

Жаль только, что анализатор не для самих плюсов. Но для них и так анализаторы есть.

Это для того, чтобы сам себя не мог проверить. Если Анализатор может проверить и сам себя, то выявленные ошибки на кого писать?
А если серьезно надо отличать софт используемый бизнесом и софт на котором делается бизнес.
Требования к ним могут оказаться совсем разными.

Стал неконкурентоспособным перед свободными решениями, вот и решили открыть код.

Типичная реакция "свободного сообщества". Корпорация открывает код, фактически, дарит коммерческий продукт, написанный профессионалами, всем желающим, но наших фанатиков не проведёшь, тут есть подвох, нам подачек не надо. Правда, фанатик скромно умалчивает, что это за "свободное решение" такое и также предпочитает не замечать, что весь Linux построен на подобных "подачках", начиная от CUPS и заканчивая Firefox.

знаем мы ваших профессионалов

> перед свободными решениями

Не будем говорить о конкурентоспособности, но таковые существуют ли вообще хотя бы?

Странно, а `infer` разве не от facebook? Зачем им ещё один анализатор?

Вы логотип видели? Думаете велосипед там просто так нарисован?

там протесты уже идут? против названия

Mariana Trench - это Марианская впадина.

>CMake 3.19.3 or higher is required.  You are running version 3.18.4

В Ubuntu, как всегда, CMake протухший

но ведь это только autotools протухают и особо одарённые завязываются на их конкретные версии

да ведь?! смузихлёбы не могут нам врать!

или смузи уже перешли на нинзи мезоны и тд бггг

То есть, то что делает борроу-чекер в расте 😏

Не, они отслеживают пути данных. Борроу-чекер не запрещает взять пароль и скинуть его в лог.

Но как программа узнает, что пароль - это пароль, без предварительной аннотации. Машинным обучением?

> Но как программа узнает, что пароль - это пароль, без предварительной аннотации.
> Машинным обучением?

По источнику данных. Пароль не берётся ниоткуда.

Приведи пример, солнышко.

Как насчёт опечаток

username = getPassword();
password = getUsername();

Даже в формах на сайтах так можно накосячить.

> Приведи пример, солнышко.

Я не знаю, откуда там программы на андроиде извлекают пароли, и какие API для этого есть.

> Как насчёт опечаток
> username = getPassword();
> password = getUsername();

Что это за getPassword и getUsername? Откуда они тягают пароль и пользователя? Как они это делают? К каким-то API обращаются? Давай сюда более полный пример, без этого никак: анализ кода идёт на уровне машинных кодов, соответственно, тебе в примере всё надо свести к границам между машинным кодом и внешним миром.

Или хочешь я пример приведу?

Вот пишешь ты C'шную программу, которая запрашивает пароль у пользователя, и делаешь libc'овый вызов getpass. Этот getpass в базе данных анализатора, который палит -- "ага, возвращаемый указатель -- это указатель на пароль", и дальше отслеживает этот указатель, обращая внимания на все strdup, strcpy и прочие.

> Как они это делают? К каким-то API обращаются? Давай сюда более полный пример

Не, не, Mariana Trench. Давай сама :)

Выше приведён пример, читай внимательнее.

Дайте пример (название) такого сишного анализатора

Ну и как? Один пароль прочитали из текстового конфига. Другой - из текстового поля обычного, не для паролей. Потому что поле для паролей разраб сделал кастомное из обычного текстового. И имён переменных внутри apk нет, их сожрал оптимизатор. А имена, которые не сожрал оптимизатор, сожрал proguard.

> Ну и как? Один пароль прочитали из текстового конфига. Другой - из
> текстового поля обычного, не для паролей. Потому что поле для паролей
> разраб сделал кастомное из обычного текстового. И имён переменных внутри apk
> нет, их сожрал оптимизатор. А имена, которые не сожрал оптимизатор, сожрал
> proguard.

И чё? Ты ждёшь от статического анализатора, чтобы он тебе 0% false positive'ов находил, и 0% false negative'ов? Зря ждёшь, не дождёшься, таких не бывает.

А как же открытый статический анализатор для php? Неужели слились?

Как одно другому мешает?

В Расте и Хаскеле очень просто предотвратить например вывод секретов в лог - не реализовывать соответствующий трейт или класс. Или реализовывать так, чтобы секреты не выводились или выводились звёздочками.

То есть, проблема решается дёшево и сердито. Безо всяких анализаторов.

Мдэ. Пароль у тебя в String'ах, написал разок
let pass = dbg!(getPassword());

и забыл. А если пароли по специальным структурам распихивать, то это и на жабе можно секурно сделать.

Поправочка, не в String, а в структуру с полем String.

Добавляем нужную обвязку для звездочек в данную структуру, некоторые надуманные защиты в виде автоперезаписи String при drop структуры и все ок.

И снова не раст)))

Да, бо в расте это давно есть и не одно, а целое множество..

Что сказать-то хотели? Да, в мире есть не только Rust. Это для вас новость?