Facebook heeft zijn Pysa-tool voor het automatisch ontdekken van kwetsbare code in Python open source gemaakt. De tool gebruikt hiervoor static code analysis.
Met de nu openbaar gemaakte tool kunnen softwareontwikkelaars hun Python-code checken op potentiële kwetsbaarheden. Hierdoor voorkomen zij dat deze kwetsbaarheden in de productieomgevingen terecht komen en uiteindelijk tot problemen kunnen leiden.
Concreet werkt de tool op basis van static code analysis. De tool zoekt daarbij naar mogelijke securityproblemen door de ruwe data te volgen als die zicht door een applicatie beweegt. Daarnaast checkt de tool of deze data niet ergens eindigt waar het niet hoort te zijn. Bijvoorbeeld door gebruikers van een website ingevoerde data die op weg gaat naar een database in de backend-omgeving. Deze wordt gescand, zodat het voor hackers niet mogelijk is om op deze manier kwaadaardige code binnen te brengen. Zeker als binnenkomende data zich door meerdere systemen en omgevingen heen beweegt.
Complexe workloads
Pysa is vooral handig als het gaat het scannen van grote en complexe workloads, zoals in zakelijke omgevingen. De tool scant code laag voor laag en levert overzichten waarmee kan worden bepaald welke functionaliteit data terugstuurt naar de bron en welke functies de juiste parameters hebben om ergens een eindomgeving te bereiken.
Bovendien zou de tool, aldus Facebook, weinig false positives opleveren. Dit voorkomt dat ontwikkelaars eindeloos bezig zijn om alles op te lossen en zo de echt belangrijke kwetsbaarheden over het hoofd zien.
De social mediagigant is zelf meer dan tevreden over de werking van Pysa, Volgens Facebook wist de tool in eerste zes maanden van dit jaar voor zijn Instagram-product maar liefst 330 securitykwetsbaarheden te ontdekken. Slechts 150 meldingen waren een false positive.
Gebruik
De tool is alleen gericht op Python-code, wat de bruikbaarheid natuurlijk wel beperkt. Maar doordat Python veel voor AI-oplossingen wordt ingezet, is de tool voor dat marktsegment natuurlijk erg aantrekkelijk.
De Pysa tool is nu beschikbaar via GitHub.
20 uur geleden
