9月29日，Facebook宣布开源Mariana Trench，这是一个专注于Android的静态分析平台，该平台用于检测和防止为移动操作系统大规模创建的应用程序中的安全和隐私漏洞。

Facebook表示，“[Mariana Trench] 旨在能够扫描大型移动代码库并在拉取请求投入生产之前标记潜在问题。”

简而言之，该实用程序允许开发人员为不同的数据流制定规则以扫描代码库，以发现潜在问题。

例如，可能导致敏感数据泄漏的意图重定向缺陷，或允许攻击者插入的注入漏洞任意代码——明确设置用户提供的数据进入应用程序的边界，允许来自(源)和流入(接收器)，如数据库、文件、网络视图或日志。

发现违反规则的数据流会返回给安全工程师或发出包含更改的拉取请求。

Facebook表示，在其应用程序(包括 Facebook、Instagram 和 WhatsApp)中检测到的漏洞，有超过50%是使用自动化工具发现的。Mariana Trench也标志着该公司在Zoncolan和Pysa之后开源的第三项此类服务，它们分别针对Hack和 Python 编程语言。

在此之前，微软旗下的GitHub也采取了类似的举措，该公司于2019年收购了Semmle并启动了一个安全实验室，旨在保护开源软件，此外还免费提供诸如CodeQL之类的语义代码分析工具，以发现公开代码中的漏洞。

该公司表示：“在移动和Web应用程序之间补丁和确保代码更新方面存在差异，因此它们需要不同的方法。”

“虽然Web应用程序的服务器端代码几乎可以即时更新，但缓解Android应用程序中的安全漏洞，需要依赖于每个用户及时更新自己设备上的应用程序。这就使得任何应用开发者都需要有相应的系统来防止漏洞出现在手机版本中，这一点变得尤为重要。”

Mariana Trench可以通过GitHub访问，Facebook也在PyPi库上发布了一个Python包。

多数情况下，漏洞的存在都是由于系统中出现代码缺陷，而这种缺陷由人工检查或不易发觉或费时费力，所以就需要借助静态代码检测工具。静态代码检测可以帮助开发人员减少30%-70%的安全漏洞，大大提高软件安全性。随着网络安全防御已从传统外部防护延展到软件内部安全建设，在软件开发阶段实时检测、修复代码漏洞，提升软件本身的安全属性，降低网络安全风险，已经成为国际共识。

参读链接：

https://thehackernews.com/2021/09/facebook-releases-new-tool-that-finds.html

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法