成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

Facebook發(fā)布新工具,可查找Android應(yīng)用程序中的安全和隱私漏洞

Tony_Zby / 2456人閱讀

摘要:表示,在其應(yīng)用程序包括和中檢測到的漏洞,有超過是使用自動化工具發(fā)現(xiàn)的。雖然應(yīng)用程序的服務(wù)器端代碼幾乎可以即時更新,但緩解應(yīng)用程序中的安全漏洞,需要依賴于每個用戶及時更新自己設(shè)備上的應(yīng)用程序。

9月29日,F(xiàn)acebook宣布開源Mariana Trench,這是一個專注于Android的靜態(tài)分析平臺,該平臺用于檢測和防止為移動操作系統(tǒng)大規(guī)模創(chuàng)建的應(yīng)用程序中的安全和隱私漏洞。

Facebook表示,“[Mariana Trench] 旨在能夠掃描大型移動代碼庫并在拉取請求投入生產(chǎn)之前標(biāo)記潛在問題?!?/p>

簡而言之,該實用程序允許開發(fā)人員為不同的數(shù)據(jù)流制定規(guī)則以掃描代碼庫,以發(fā)現(xiàn)潛在問題。

例如,可能導(dǎo)致敏感數(shù)據(jù)泄漏的意圖重定向缺陷,或允許攻擊者插入的注入漏洞任意代碼——明確設(shè)置用戶提供的數(shù)據(jù)進入應(yīng)用程序的邊界,允許來自(源)和流入(接收器),如數(shù)據(jù)庫、文件、網(wǎng)絡(luò)視圖或日志。

圖片5.png

發(fā)現(xiàn)違反規(guī)則的數(shù)據(jù)流會返回給安全工程師或發(fā)出包含更改的拉取請求。

Facebook表示,在其應(yīng)用程序(包括 Facebook、Instagram 和 WhatsApp)中檢測到的漏洞,有超過50%是使用自動化工具發(fā)現(xiàn)的。Mariana Trench也標(biāo)志著該公司在Zoncolan和Pysa之后開源的第三項此類服務(wù),它們分別針對Hack和 Python 編程語言。

在此之前,微軟旗下的GitHub也采取了類似的舉措,該公司于2019年收購了Semmle并啟動了一個安全實驗室,旨在保護開源軟件,此外還免費提供諸如CodeQL之類的語義代碼分析工具,以發(fā)現(xiàn)公開代碼中的漏洞。

該公司表示:“在移動和Web應(yīng)用程序之間補丁和確保代碼更新方面存在差異,因此它們需要不同的方法?!?/p>

“雖然Web應(yīng)用程序的服務(wù)器端代碼幾乎可以即時更新,但緩解Android應(yīng)用程序中的安全漏洞,需要依賴于每個用戶及時更新自己設(shè)備上的應(yīng)用程序。這就使得任何應(yīng)用開發(fā)者都需要有相應(yīng)的系統(tǒng)來防止漏洞出現(xiàn)在手機版本中,這一點變得尤為重要。”

Mariana Trench可以通過GitHub訪問,F(xiàn)acebook也在PyPi庫上發(fā)布了一個Python包。

多數(shù)情況下,漏洞的存在都是由于系統(tǒng)中出現(xiàn)代碼缺陷,而這種缺陷由人工檢查或不易發(fā)覺或費時費力,所以就需要借助靜態(tài)代碼檢測工具。靜態(tài)代碼檢測可以幫助開發(fā)人員減少30%-70%的安全漏洞,大大提高軟件安全性。隨著網(wǎng)絡(luò)安全防御已從傳統(tǒng)外部防護延展到軟件內(nèi)部安全建設(shè),在軟件開發(fā)階段實時檢測、修復(fù)代碼漏洞,提升軟件本身的安全屬性,降低網(wǎng)絡(luò)安全風(fēng)險,已經(jīng)成為國際共識。

參讀鏈接:

thehackernews.com/2021/09/fac…

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/122217.html

相關(guān)文章

  • 《阿里聚安全2016年報》

    摘要:每天新增近個新移動病毒樣本,每秒生成個阿里聚安全移動病毒樣本庫年新增病毒樣本達個,平均每天新增個樣本,這相當(dāng)于每秒生成一個病毒樣本。阿里聚安全的人機識別系統(tǒng),接口調(diào)用是億級別,而誤識別的數(shù)量只有個位數(shù)。 《阿里聚安全2016年報》發(fā)布,本報告重點聚焦在2016年阿里聚安全所關(guān)注的移動安全及數(shù)據(jù)風(fēng)控上呈現(xiàn)出來的安全風(fēng)險,在移動安全方面重點分析了病毒、仿冒、漏洞三部分,幫助用戶了解業(yè)務(wù)安全...

    2json 評論0 收藏0

  • 用戶隱私泄露事件頻發(fā),我們的信息很難維護嗎?

    摘要:今年以來,一直處在用戶隱私信息泄露的漩渦中。今年月,谷歌同名社交網(wǎng)絡(luò)被曝出存在重要安全漏洞,致使外部開發(fā)者可能在年到今年月份期間獲得幾十萬用戶的私人概況數(shù)據(jù)。受此影響,谷歌決定在年月關(guān)閉。 Facebook的水逆還在繼續(xù)。據(jù)中新聞援引外媒的報道稱,F(xiàn)acebook又出現(xiàn)了新的安全漏洞,導(dǎo)致第三方應(yīng)用軟件獲取用戶未公開的私人照片,初步估計,有多達680萬用戶受影響。showImg(htt...

    leanote 評論0 收藏0

  • Android安全開發(fā)之Provider組件安全

    摘要:人工排查肯定比較麻煩,建議開發(fā)者使用阿里聚安全提供的安全掃描服務(wù),在上線前進行自動化的安全掃描,盡早發(fā)現(xiàn)并規(guī)避這樣的風(fēng)險。 作者:伊樵、呆狐@阿里聚安全 1 Content Provider組件簡介 Content Provider組件是Android應(yīng)用的重要組件之一,管理對數(shù)據(jù)的訪問,主要用于不同的應(yīng)用程序之間實現(xiàn)數(shù)據(jù)共享的功能。Content Provider的數(shù)據(jù)源不止包括SQ...

    xiaolinbang 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<