The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Mozilla развивает ScanJS, статический анализатор кода для Ja..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Mozilla развивает ScanJS, статический анализатор кода для Ja..."  +/
Сообщение от opennews (??) on 20-Май-14, 12:06 
В рамках проекта ScanJS (https://github.com/mozilla/scanjs) разработчики из сообщества Mozilla развивают инструментарий статического анализа кода для языка JavaScript. Разработка позволяет упростить рецензирование безопасности кода и даёт возможность на стороне сервера выявлять потенциальные уязвимости в web-приложениях, предназначенных для выполнения в браузере на стороне клиента. Код ScanJS написан на языке JavaScript, запускается под управлением node.js и распространяется под свободной лицензией MPL.


Поддерживается как использование в форме утилиты командной строки, так и развёртывание специализированного web-сервиса. Для преобразования исследуемого JavaScript-кода в AST-представление (Абстрактное синтаксическое дерево (http://ru.wikipedia.org/wiki/%D0%90%D0%B...)) применяется парсер Acorn (http://marijnhaverbeke.nl/acorn/). Правила, описывающие возможные аномалии в коде, оформляются (https://github.com/mozilla/scanjs/blob/master/common/) в формате JSON. Для оценки работы ScanJS запущен (http://mozilla.github.io/scanjs/client/) демонстрационный сервис проверки.


Кроме того, разработчики Mozilla представили (https://blog.mozilla.org/security/2014/05/15/introducing-moz.../) инициативу Winter Of Security 2014 (https://wiki.mozilla.org/Security/Automation/WinterOfSecurit...), в рамках которой, по аналогии с Google Summer of Code, студентам предлагается принять участие в разработке 11 применяемых в Mozilla инструментов автоматизации проверки безопасности. Кроме ScanJS, в программу вовлечены такие инструменты, как ZAP (http://www.opennet.dev/opennews/art.shtml?num=34844), Plug’n’Hack (http://www.opennet.dev/opennews/art.shtml?num=37743), Minion (http://www.opennet.dev/opennews/art.shtml?num=37551),  Zest (https://developer.mozilla.org/en-US/docs/zest), MIG (https://github.com/mozilla/mig/) (Mozilla InvestiGator), Mozdef (https://github.com/jeffbryner/MozDef) и Cipherscan (https://github.com/jvehent/cipherscan). Заявки от студентов будут приниматься (https://docs.google.com/a/mozilla.com/forms/d/18T4mpv_cbV3_5...) до 15 июля. В середине августа будут объявлены выбранные участники проекта, на выполнение задания которым отводится  8 месяцев, с сентября по апрель.


URL: http://www.reddit.com/r/netsec/comments/25xgsj/static_analys.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=39817

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Mozilla развивает ScanJS, статический анализатор кода для Ja..."  +/
Сообщение от Аноним (??) on 20-Май-14, 12:06 
Чего-то по демо-сервису я вообще не понял, в чем смысл. Ищутся совпадения строк?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Mozilla развивает ScanJS, статический анализатор кода для Ja..."  +/
Сообщение от rob pike on 20-Май-14, 12:23 
Не совсем

{
    "name": "global.setTimeout",
    "source": "$.setTimeout()",
    "testhit": "global.setTimeout('jsCode'+usercontrolledVal ,timeMs)",
    "testmiss": "setTimeout",
    "desc": "Calling setTimeout with a first argument as string (or string concatenation) with user input may lead to XSS",
    "threat": "Execution Sink"
  },

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Mozilla развивает ScanJS, статический анализатор кода..."  +6 +/
Сообщение от arisu (ok) on 20-Май-14, 12:23 
у них DRM ещё не доделан, а они фигнёй занимаются!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Mozilla развивает ScanJS, статический анализатор кода..."  +/
Сообщение от rob pike on 20-Май-14, 13:49 
То не они, то "разработчики из сообщества"
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "Mozilla развивает ScanJS, статический анализатор кода..."  +/
Сообщение от Vkni (ok) on 22-Май-14, 04:27 
> у них DRM ещё не доделан, а они фигнёй занимаются!

Это потому, что в компании остались клятые гомофобы!!!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Mozilla развивает ScanJS, статический анализатор кода для Ja..."  +5 +/
Сообщение от Аноним (??) on 20-Май-14, 14:10 
Браузер: Ну, скоро уже? Сайт: погоди, погоди... самому интересно!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Mozilla развивает ScanJS, статический анализатор кода для Ja..."  –1 +/
Сообщение от jOKer (ok) on 20-Май-14, 17:19 
>даёт возможность на стороне сервера выявлять потенциальные уязвимости в web-приложениях, предназначенных для выполнения в браузере на стороне клиента

Эти костыли, такие костыли...вместо того что бы приложить усилие и заменить колбачный с мягкой типизацие жабоскрипт на что-то с жесткой типизацией и нормальной моделью блокировок, семафоров и множеством потоков исполнения люди яростно изобретают костыли, потом делают анализаторы для этих костылей, и в итоге называют ЭТО прогрессом.

Специально для любителей сказать, что мол "сперва пиши на г. что есть, и только потом высказывайся" спешу отметить, что я профессионально (то есть каждый день и за деньги) пишу на жабоскрипте, и именно поэтому я имею полное право сказать: этот ЯП - жутчайший костыль, его модель наследования по объектам - пьяный/наркотический глюк, и никакие ухищрения талантливых парней сочиняющих тулкиты вроде Dojo (эмулирующий наследование по классам, кстати), и никакой синтаксический сахар a-la замыкания, отложенное исполнение и средства переключения контекста нифига ему не поможет - уродец должен сдохнуть и "точка, Силин!" (с) Следствие ведут ЗнаТоКи.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Mozilla развивает ScanJS, статический анализатор кода для Ja..."  +/
Сообщение от Аноним (??) on 20-Май-14, 19:16 
А какой выход? Проблема совместимости жуткая - разом изобрести DCOM/WCF для всех не выйдет.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Mozilla развивает ScanJS, статический анализатор кода..."  +/
Сообщение от arisu (ok) on 20-Май-14, 21:26 
> А какой выход?

давать подобным ему говнокодерам побольше работы, чтобы у них не оставалось времени нести чушь по форумам.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Mozilla развивает ScanJS, статический анализатор кода для Ja..."  +/
Сообщение от иксиксикс on 20-Май-14, 21:18 
и сколько пишите на js? хотя бы лет пять уже есть стажа?
а чем еще писали и насколько крупные проекты?

а если по существу, то JS это мощный инструмент, да это вам не классический ООП.
Но если взять например java, то написав тонну кода, вы будете  завистью смотреть на питон,
написать тонну кода на питоне, вы будете с завистью смотреть на go, написав тонну кода...
ну вы поняли, на соседней лужайке всегда трава зеленее.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Mozilla развивает ScanJS, статический анализатор кода..."  +/
Сообщение от arisu (ok) on 20-Май-14, 21:24 
> да это вам не классический ООП.

Знатоки В Треде, Все В Машину!

правда, «знатоки» китайские, поддельные, и не знают, что прототипы — это как раз и есть тот самый «классический ООП» (точнее, message passing, что в js сделано прототипами). а цпп-подобное гуано как раз унылый неудобный новодел.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Mozilla развивает ScanJS, статический анализатор кода..."  +/
Сообщение от йцу on 21-Май-14, 09:52 
> (точнее, message passing, что в js сделано прототипами

А "истинные знатоки" не хотят поведать нам, как связаны message passing и прототипы? Или "истинные знатоки" просто нахватались где-то умных слов?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Mozilla развивает ScanJS, статический анализатор кода..."  +/
Сообщение от arisu (ok) on 21-Май-14, 16:21 
> А "истинные знатоки" не хотят поведать нам, как связаны message passing и
> прототипы?

нет, не хотят. сегодня неудачный день, чтобы сыпать перед вами бисер.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Mozilla развивает ScanJS, статический анализатор кода для Ja..."  +1 +/
Сообщение от Цыцоев on 21-Май-14, 20:19 
Цыц мне тут! Прототипы это всего лишь реализация парадигмы ООП. Просто классы и объекты и всякие сущности реализуются прототипами. Это игра понятиями, не стоит этим увлекаться, ибо можно забыть о главной цели. А главная цель для истинного программиста - сотворить рабочий код.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Mozilla развивает ScanJS, статический анализатор кода..."  +/
Сообщение от arisu (ok) on 21-Май-14, 20:30 
> Цыц мне тут! Прототипы это всего лишь реализация парадигмы ООП.

да, одна из. на самом деле я, конечно, высказался не совсем кореектно. но идиоты, которые называют симула-подобное ООП «классическим», ужасно раздражают.

> главная цель для истинного программиста - сотворить рабочий код.

нет, это главная цель быдлокодера. задача программиста же — не просто «рабочий код», но ещё и понятный человеку и удобно сопровождаемый код.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру