首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

脸书Zoncolan调试平台可在30分钟内侦测超过1亿行程序

脸书(Facebook)近日对外披露该公司已研发多年的Zoncolan调试平台,它是以静动分析自动检查大量的程序代码以找出潜在的bug、安全漏洞或是隐私漏洞,并已可在30分钟内,检查超过1亿行的Hack程序代码。

根据脸书工程团队的说明,他们是在多年以前启动了Zoncolan项目,当时他们手动审核以前的安全漏洞,包括bug报告、根本原因与相对应的修补程序,同时漏洞挖掘奖励项目也带来有用的信息,通过数百份的报告来判断哪些类别的问题适合静态分析,并设计出Zoncolan系统来侦测它们。

Zoncolan使用了抽象解释(abstract interpretation)技术来关注程序代码中由用户控制的输入,它在分析程序代码时,构建了可代表程序代码中的函数行为,以及这些函数如何交互的数据结构,再形成每个函数行为的摘要,而且只纪录了与潜在危险信息流有关的属性。

Zoncolan会关注自信息源头到信息目的地的信息流,据此创建规则,每个规则都代表某种形态的潜在安全漏洞,当Zoncolan发现有信息流符合其中之一的规则时,就会提出警告,并附上信息流的完整描述。

以上述方法即可在不到30分钟内扫描上亿行的程序,若要以人力检测规模如此庞大的程序代码,通常是经年累月才能完成。

脸书表示,尽管Zoncolan平台无法逮到所有的问题,但却能发现类别上的问题,可缩短安全工程师检查程序代码的时间,也通过规则来避免类似的问题再度发生,而且所有的规则都纪录在案,方便未来进行教育或变更。

脸书已打造一个广泛的基础设施来执行Zoncolan,它平均每天可评估数千项的程序变动,去年Zoncolan协助识别超过1,100个被列为重要或更严重的安全问题,以要求程序代码作者或安全工程师立即采取行动。

目前Zoncolan平台主要应用在脸书所开发的Hack程序语言上,未来脸书除了计划将它扩大到其它脸书所使用的程序语言之外,也打算以Zoncolan的核心元素来打造一个开源工具,让脸书以外的工程师,也能享受该平台所带来的便利。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190820A0PY0G00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券