検索
ニュース

Facebook、Instagramを支えるPythonコードの静的解析ツール「Pysa」をOSSで公開コードにおけるデータフローを解析し、セキュリティ問題を検出

Facebookは、Pythonコードのセキュリティやプライバシーの問題を検出するオープンソースの静的解析ツール「Pysa」の詳細を発表した。

Share
Tweet
LINE
Hatena

 Facebookは2020年8月7日(米国時間)、Pythonコードの静的解析ツール「Pysa」の詳細を発表した。

 Pysaは、「Python static analyzer」を略した名称。Pythonコードのセキュリティやプライバシーの問題を検出、防止するために、オープンソースソフトウェア(OSS)として開発された。

Pysaの使いどころ

 PysaはFacebookにおいて、Pythonコードが特定の社内フレームワーク(技術プライバシーポリシーに基づいて、ユーザーデータへのアクセスや、ユーザーデータの開示を防ぐ)を適切に使用しているかどうかのチェックや、Webアプリケーションの一般的なセキュリティ問題(XSSやSQLインジェクションのような)の検出などを通じて、幅広い問題検出に役立っているという。

 Facebookは、同社の大規模Pythonアプリケーションのセキュリティ対策にPysaが貢献している事例の最たるものとして、同社の「Instagram」サービスを支えるサーバのコードベース開発における変更の自動解析を挙げている。

 FacebookはPysaを、セキュリティ問題の検出に必要な定義の多くとともに、OSSとして公開した。同社は自社サービスでOSSのPythonサーバフレームワーク(「Django」「Tornado」など)を使っており、こうしたフレームワークを使っているプロジェクトにPysaを適用すれば、初回実行時からセキュリティ問題を検出し始めることができる。Facebookがカバーしていないフレームワークを対象にする場合は、データがサーバに入る場所をPysaに知らせる数行の構成コードを追加するだけで、Pysaを使用できるという。

 なおFacebookは、Pysaを使って、OSSのPythonプロジェクトにおけるセキュリティ問題の検出、開示も行っており、実績例として「CVE-2019-19775」を挙げている。

Pysaの仕組み

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る