Facebook发布了一个新工具，可以在Android应用程序中发现安全和隐私漏洞

Facebook在周三宣布了其开源Mariana Trench，这是一个专注于Android的静态分析平台，该公司使用它来检测和防止为移动操作系统大规模创建的应用程序中的安全和隐私漏洞。

这家总部位于门罗公园（Menlo Park）的社交科技巨头表示：“[Mariana Trench]的设计目的是能够扫描大型移动代码库，并在拉取请求投入生产之前标记潜在问题。”。

简而言之，该实用程序允许开发人员为不同的数据流制定规则，以便扫描代码库以发现潜在问题—；比如，可能导致敏感数据泄露的意图重定向漏洞或允许对手插入任意代码的注入漏洞—；明确设置进入应用程序的用户提供的数据来自（源）和流入（接收器）的边界，例如可以执行代码、检索或与用户数据交互的方法。

然后，发现违反规则的数据流会返回给安全工程师或发出包含更改的请求的软件工程师。

这家社交媒体巨头表示，在Facebook、Instagram和WhatsApp等应用程序系列中检测到的漏洞中，超过50%是通过自动工具发现的。Mariana Trench也是该公司继Zoncolan和Pysa之后的第三个开源服务，这两个服务分别针对黑客和Python编程语言。

微软旗下的GitHub收购了Semmle，并于2019年启动了一个安全实验室，旨在保护开源软件的安全，此外还免费提供CodeQL等语义代码分析工具，以发现公开可用代码中的漏洞。

该公司表示：“手机和网络应用程序在修补和确保采用代码更新方面存在差异，因此它们需要不同的方法。”。

“虽然web应用程序的服务器端代码几乎可以在瞬间更新，但要缓解Android应用程序中的安全漏洞，需要每个用户及时在自己的设备上更新应用程序。这使得任何应用程序开发人员都更需要安装系统，帮助防止漏洞进入系统。”移动版，只要可能。"

Mariana Trench可以通过GitHub在这里访问，Facebook也在PyPi存储库上发布了一个Python包。