Facebook ha abierto una herramienta de análisis estático que sus ingenieros de software y seguridad utilizan internamente para encontrar fallos de seguridad y privacidad potencialmente peligrosos en las aplicaciones Android y Java de la compañía.
Esta herramienta centrada en la seguridad, denominada Mariana Trench (MT), puede analizar grandes bases de código de decenas de millones de líneas de código para detectar vulnerabilidades antes de que se introduzcan en la base de código.
Facebook reveló que sus ingenieros encontraron más del 50% de todos los fallos de seguridad en las aplicaciones de la empresa utilizando herramientas automatizadas similares a Mariana Trench.
Mariana Trench funciona analizando el flujo de información desde las “fuentes” (datos sensibles del usuario, como contraseñas o ubicaciones) hasta los “sumideros” (funciones o métodos que utilizan datos procedentes de las fuentes). Y está diseñada, específicamente, para descubrir automáticamente este tipo de problemas que, en la mayoría de los casos, podrían dar lugar a graves fallos de privacidad y seguridad.
Los desarrolladores e ingenieros, pueden utilizar la herramienta para centrarse en problemas específicos de seguridad y privacidad, ajustándola y entrenándola mediante la adición de nuevas reglas y generadores de modelos, de modo que se centre en las áreas en las que no deben ir a parar los datos sensibles.
La compañía lanzó previamente otras dos herramientas de análisis de código estático diseñadas para detectar y prevenir problemas de seguridad para el código Python (Pysa) y el código Hack (Zoncolan).
Puede encontrar la herramienta de análisis de código Mariana Trench en GitHub y su propio sitio web dedicado, una distribución binaria en PyPI y un breve tutorial para ayudar a comenzar.