脸书开源Android、Java App漏洞检查工具

脸书昨（29）日宣布，将自家检查Android及Java App漏洞的工具Mariana Trench（MT）以开源专案公开。

为确保旗下行动应用程序，包括FB、IG、WhatsApp的安全性及功能顺畅，脸书内部开发出自动化分析工具协助侦测和检查程式漏洞。今年上半，脸书的自动化工具已经辨识出50多个漏洞。

脸书工程师Dominik Gabi指出，Mariana Trench专案是脸书释出的第3个程式码静态与动态分析工具。在此之前，脸书已释出Zoncolan及Pysa二项分析工具。三者的运作方式相似，不同的是Zoncolan及Pysa分别分析Hack及Python程式码，而Mariana Trench则用来分析Android和Java App。

安全分析师是借由分析程式码从Source到Sink之间资料流的种种路径来找出漏洞。脸书指出，大的Codebase中往往包含多种不同类别的Source及Sink，Mariana Trench正是为了扫描包括数千万行程式码的大型行动App codebase的瑕疵或漏洞而设计，可大幅加速程式码检查的速度。

脸书的技术文件网页写道，Mariana Trench借由分析Dalvik bytecode来找出Android和Java程式安全漏洞。它使用名为抽象释义（abstract interpretation）的静态分析手法建立一组模型，推测Java method各种资料路径。安全分析工程师可以透过定义规则，让它产出可能的资料路径，借此分析发现App之中的安全及隐私问题。

除了快速外，脸书并指出，Mariana Trench另一优点是可客制化。安全分析人员经由长期规则设定及告知资料来源，逐渐训练它来符合组织的需求。

目前这项工具资源已经经由GitHub开放。