🔥 UBND Thành phố Thanh Hoá đã đăng ký tín nhiệm. 🔥                    🔥 UBND thị xã Bỉm Sơn, tỉnh Thanh Hoá đã đăng ký tín nhiệm. 🔥                    🔥 UBND huyện Thọ Xuân, tỉnh Thanh Hoá đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH MTV Giải Pháp Trực Tuyến Hữu Nhân đã đăng ký tín nhiệm. 🔥                    🔥 Công ty Cổ phần W2W đã đăng ký tín nhiệm. 🔥                   

Facebook phát hành công cụ mới giúp bảo mật cho ứng dụng Android

30/09/2021

Hôm qua, Facebook đã công bố mã nguồn mở của Mariana Trench, một công cụ phân tích tĩnh nhằm bảo mật cho Android được công ty sử dụng để phát hiện và ngăn chặn các lỗ hổng bảo mật và quyền riêng tư trong các ứng dụng trên nền tảng Android.

Facebook cho biết "Mariana Trench có thể quét lượng lớn các mã nguồn di động và gắn nhãn các vấn đề tiềm ẩn đối với các pull requests trước khi chúng được đưa vào hệ thống thực tế".

Tiện ích này cho phép các nhà phát triển tạo ra các khung quy tắc cho các luồng dữ liệu khác nhau để quét mã nguồn nhằm phát hiện ra các vấn đề tiềm ẩn như lỗi chuyển hướng có chủ đích có thể làm rò rỉ dữ liệu nhạy cảm hoặc các lỗ hổng injection cho phép tin tặc chèn vào mã tùy ý; quy định rõ về nguồn/loại dữ liệu người dùng có thể cung cấp cho ứng dụng và nơi dữ liệu đó được lưu trữ/xử lí phía máy chủ.

Các luồng dữ liệu bị phát hiện vi phạm các quy tắc sẽ được thông báo lại cho các kỹ sư hoặc nhà phát triển đã thực hiện yêu cầu pull để họ khắc phục nó.

Công ty cho biết hơn 50% lỗ hổng được phát hiện trên các ứng dụng của họ, bao gồm Facebook, Instagram và WhatsApp, được tìm thấy bằng các công cụ tự động. Mariana Trench là dịch vụ mã nguồn mở thứ ba của Facebook, sau ZoncolanPysa.

Trước đó, GitHub (thuộc sở hữu của Microsoft) cũng có các động thái tương tự với việc mua lại Semmle và ra mắt Phòng thí nghiệm bảo mật vào năm 2019 nhằm mục đích bảo mật phần mềm nguồn mở. Ngoài ra, GitHub cũng cung cấp miễn phí các công cụ phân tích ngữ nghĩa code như CodeQL để phát hiện một số lỗ hổng bảo mật đã công khai.

Công ty cho biết: “Việc vá lỗi trong các ứng dụng web phía máy chủ và việc đảm bảo áp dụng các bản cập nhật trên ứng dụng di động là khác nhau: Mã nguồn ứng dụng phía máy chủ có thể được cập nhật gần như ngay lập tức, nhưng việc giảm thiểu lỗ hổng bảo mật trong ứng dụng Android phụ thuộc vào việc người dùng có kịp thời cập nhật ứng dụng trên thiết bị của họ không”.

Điều này làm cho công cụ trở nên quan trọng hơn bất cứ khi nào nhà phát triển muốn đưa một ứng dụng mới vào hệ thống để giúp ngăn chặn các lỗ hổng bảo mật trong bản phát hành di động mới.

Mariana Trench hiện đã có sẵn trên GitHub và Facebook cũng đã phát hành bản cài đặt công cụ dưới dạng Python package trên kho lưu trữ PyPi.

Nguồn: thehackernews.com.

scrolltop