Facebook 开源代码分析工具 —— Mariana Trench

Posted 2021-10-21 ejinxian

Facebook 的安全团队本周向开源社区揭晓了一个新的开源项目 ——Mariana Trench，这是一个用于识别 android 和 Java 应用程序漏洞的开源工具，Facebook 此前一直在公司内部使用

 这个以应用安全为重点的工具可以分析数千万行的大型代码库，帮助开发者在代码出现漏洞之前发现漏洞，大大减少交付安全和隐私错误所带来的风险

Mariana Trench 的工作方式：

Mariana Trench 通过分析从 "源"（用户敏感数据，如密码或地理位置）到 "汇"（使用来自于源数据的功能或方法）的信息流而工作。Mariana Trench 是专门为自动发现此类问题而设计的，在大多数情况下，这些问题可能导致严重的隐私和安全漏洞。

Facebook 在该工具的文档中解释道："默认情况下，Mariana Trench 会分析 dalvik 字节码，因此无论是否访问源代码都可以正常工作。"

开发人员还可以通过添加新的规则和模型生成器来调整和训练它，使其专注于敏感数据不应该出现的领域，从而关注特定的安全和隐私问题。

Mariana Trench 是继 2019 年发布的 Zoncolan 和 2021 年发布的 Pysa 后，Facebook 公开的第三个代码分析工具，虽然 Mariana Trench 的工作原理很像 Zoncolan 和 Pysa，但它们三者针对的领域各不相同，其中 Zoncolan 和 Pysa 分别用于检测和防止 Hack 和 Python 代码中的安全问题，而 Mariana Trench 主要针对 Android 和 Java。

目前 Facebook 已将该项目托管至 Github，为了帮助开发者使用该工具，

Facebook 还在官网发布使用教程