Facebook hari ini merilis alat buatan sendiri yang digunakan secara internal untuk menemukan kelemahan keamanan dan privasi di dalamnya Android (terbuka di tab baru) dan Jawa (terbuka di tab baru) aplikasi.
Bernama Palung Mariana (terbuka di tab baru) (MT), penganalisa statis dilisensikan di bawah sumber terbuka (terbuka di tab baru) lisensi MIT, dan dirancang untuk menemukan kerentanan dalam basis kode besar yang terdiri dari puluhan juta baris kode.
Berdasarkan (terbuka di tab baru) Insinyur perangkat lunak Facebook Dominik Gabi, pengembang dalam perusahaan telah mengandalkan alat otomatis seperti MT untuk menemukan lebih dari 50% dari semua bug keamanan di aplikasi seluler perusahaan.
Gabi menambahkan bahwa perusahaan membangun MT untuk fokus pada aplikasi smartphone, yang memerlukan pendekatan berbeda untuk mengurangi bug keamanan dibandingkan dengan aplikasi web.
Mencegah lebih baik daripada mengobati
Dalam postingan Gabi memberikan tinjauan teknis tentang cara kerja alat ini, dan menunjuk ke tutorial Facebook yang akan membantu pengembang Android meluncurkan MT dalam saluran mereka.
Tidak seperti aplikasi web, yang dapat diperbarui secara instan untuk memperbaiki bug, menambal aplikasi Android memerlukan bantuan pengguna, menambahkan penundaan waktu yang mahal, yang dapat dimanfaatkan oleh penyerang untuk mengeksploitasi kerentanan.
Inilah sebabnya mengapa alat seperti MT membantu mendeteksi kesalahan keamanan selama pengembangan sebelum mereka mendarat di aplikasi yang diselesaikan.
“MT dirancang untuk dapat memindai basis kode seluler yang besar dan menandai potensi masalah pada pull request sebelum diproduksi,” catat Gabi, menambahkan bahwa MT adalah hasil kolaborasi antara insinyur keamanan dan perangkat lunak di Facebook.
Ditulis dalam Piton (terbuka di tab baru)MT saat ini tersedia di GitHub dan Facebook juga telah merilis biner untuk alat tersebut di repositori Python Package Index (PyPI).
