Facebook a publié aujourd’hui un outil maison qu’il utilise en interne pour découvrir les failles de sécurité et de confidentialité dans ses Android et Java applications.
Nommé Tranchée Marianne (MT), l’analyseur statique est sous licence Open source MIT, et est conçu pour détecter les vulnérabilités dans les grandes bases de code composées de dizaines de millions de lignes de code.
Selon L’ingénieur logiciel de Facebook, Dominik Gabi, les développeurs de l’entreprise ont misé sur des outils automatisés comme MT pour trouver plus de 50% de tous les bogues de sécurité dans les applications mobiles de l’entreprise.
Gabi ajoute que la société a construit MT pour se concentrer sur les applications pour smartphones, qui nécessitent une approche différente pour atténuer les bogues de sécurité par rapport aux applications Web.
Sommaire
Mieux vaut prévenir que guérir
Dans l’article, Gabi donne un aperçu technique du fonctionnement réel de l’outil et renvoie au didacticiel de Facebook qui aidera les développeurs Android à intégrer la MT dans leur pipeline.
Contrairement aux applications Web, qui peuvent être mises à jour instantanément pour corriger un bogue, la correction des applications Android nécessite l’aide des utilisateurs, ce qui ajoute un délai coûteux, qui peut être exploité par des attaquants pour exploiter les vulnérabilités.
C’est pourquoi des outils tels que MT aident à détecter les failles de sécurité pendant le développement avant qu’elles n’arrivent dans l’application finalisée.
« MT est conçu pour pouvoir analyser de grandes bases de codes mobiles et signaler les problèmes potentiels sur les demandes d’extraction avant qu’elles ne soient mises en production », note Gabi, ajoutant que MT était le résultat d’une collaboration entre les ingénieurs en sécurité et en logiciel de Facebook.
Écrit en Python, MT est actuellement disponible sur GitHub et Facebook a également publié un binaire pour l’outil dans le référentiel Python Package Index (PyPI).
