Facebook、Instagramを支えるPythonコードの静的解析ツール「Pysa」をOSSで公開コードにおけるデータフローを解析し、セキュリティ問題を検出

Facebookは、Pythonコードのセキュリティやプライバシーの問題を検出するオープンソースの静的解析ツール「Pysa」の詳細を発表した。

» 2020年08月19日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Facebookは2020年8月7日(米国時間)、Pythonコードの静的解析ツール「Pysa」の詳細を発表した。

 Pysaは、「Python static analyzer」を略した名称。Pythonコードのセキュリティやプライバシーの問題を検出、防止するために、オープンソースソフトウェア(OSS)として開発された。

Pysaの使いどころ

 PysaはFacebookにおいて、Pythonコードが特定の社内フレームワーク(技術プライバシーポリシーに基づいて、ユーザーデータへのアクセスや、ユーザーデータの開示を防ぐ)を適切に使用しているかどうかのチェックや、Webアプリケーションの一般的なセキュリティ問題(XSSやSQLインジェクションのような)の検出などを通じて、幅広い問題検出に役立っているという。

 Facebookは、同社の大規模Pythonアプリケーションのセキュリティ対策にPysaが貢献している事例の最たるものとして、同社の「Instagram」サービスを支えるサーバのコードベース開発における変更の自動解析を挙げている。

 FacebookはPysaを、セキュリティ問題の検出に必要な定義の多くとともに、OSSとして公開した。同社は自社サービスでOSSのPythonサーバフレームワーク(「Django」「Tornado」など)を使っており、こうしたフレームワークを使っているプロジェクトにPysaを適用すれば、初回実行時からセキュリティ問題を検出し始めることができる。Facebookがカバーしていないフレームワークを対象にする場合は、データがサーバに入る場所をPysaに知らせる数行の構成コードを追加するだけで、Pysaを使用できるという。

 なおFacebookは、Pysaを使って、OSSのPythonプロジェクトにおけるセキュリティ問題の検出、開示も行っており、実績例として「CVE-2019-19775」を挙げている。

Pysaの仕組み

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。