Facebook、Instagramを支えるPythonコードの静的解析ツール「Pysa」をOSSで公開：コードにおけるデータフローを解析し、セキュリティ問題を検出

Facebookは、Pythonコードのセキュリティやプライバシーの問題を検出するオープンソースの静的解析ツール「Pysa」の詳細を発表した。

[＠IT]

　Facebookは2020年8月7日（米国時間）、Pythonコードの静的解析ツール「Pysa」の詳細を発表した。

　Pysaは、「Python static analyzer」を略した名称。Pythonコードのセキュリティやプライバシーの問題を検出、防止するために、オープンソースソフトウェア（OSS）として開発された。

Pysaの使いどころ

　PysaはFacebookにおいて、Pythonコードが特定の社内フレームワーク（技術プライバシーポリシーに基づいて、ユーザーデータへのアクセスや、ユーザーデータの開示を防ぐ）を適切に使用しているかどうかのチェックや、Webアプリケーションの一般的なセキュリティ問題（XSSやSQLインジェクションのような）の検出などを通じて、幅広い問題検出に役立っているという。

　Facebookは、同社の大規模Pythonアプリケーションのセキュリティ対策にPysaが貢献している事例の最たるものとして、同社の「Instagram」サービスを支えるサーバのコードベース開発における変更の自動解析を挙げている。

　FacebookはPysaを、セキュリティ問題の検出に必要な定義の多くとともに、OSSとして公開した。同社は自社サービスでOSSのPythonサーバフレームワーク（「Django」「Tornado」など）を使っており、こうしたフレームワークを使っているプロジェクトにPysaを適用すれば、初回実行時からセキュリティ問題を検出し始めることができる。Facebookがカバーしていないフレームワークを対象にする場合は、データがサーバに入る場所をPysaに知らせる数行の構成コードを追加するだけで、Pysaを使用できるという。

　なおFacebookは、Pysaを使って、OSSのPythonプロジェクトにおけるセキュリティ問題の検出、開示も行っており、実績例として「CVE-2019-19775」を挙げている。

Pysaの仕組み