盡管 Facebook 近期被不重視用戶隱私保護(hù)等話題纏身,特別是其原本可以避免很多不必要的錯(cuò)誤。但是,就其數(shù)十億用戶和支持其用戶的龐大數(shù)據(jù)平臺(tái)來(lái)說(shuō),想要在一億行巨量代碼庫(kù)中發(fā)現(xiàn)每一個(gè)缺陷并不容易。
為了在巨量代碼庫(kù)中準(zhǔn)確定位問(wèn)題,F(xiàn)acebook 的工程師四年前開(kāi)始構(gòu)建定制評(píng)估工具。這個(gè)工具不僅可以檢查已知類(lèi)型的錯(cuò)誤,還可以在 30 分鐘內(nèi)掃描完整個(gè)代碼庫(kù),幫助工程師在變更、修改或增加主要功能之前發(fā)現(xiàn)缺陷,將缺陷扼殺在搖籃中。
該工具名為 Zoncolan,是一個(gè)“靜態(tài)分析”工具,可以映射代碼庫(kù)的行為和功能,并通過(guò)不同路徑中相互作用查找隱藏在各個(gè)分支中的潛在問(wèn)題。在如此大規(guī)模代碼庫(kù)中使用人工手動(dòng)審查無(wú)窮無(wú)盡的代碼變更,并做代碼審核是不切實(shí)際的。靜態(tài)級(jí)別分析非常合適,因?yàn)樗鼘?duì)不良架構(gòu)和缺陷代碼行為設(shè)定了“規(guī)則”,并自動(dòng)掃描系統(tǒng)中這些類(lèi)別的錯(cuò)誤。一旦出現(xiàn),馬上抓住。理想情況下,該系統(tǒng)不僅可以標(biāo)注潛在問(wèn)題,還可以為工程師提供實(shí)時(shí)反饋幫助他們學(xué)會(huì)如何避免踏入陷阱。
“每當(dāng)工程師要對(duì)我們的代碼庫(kù)進(jìn)行改動(dòng)時(shí),Zoncolan 就會(huì)開(kāi)始在后臺(tái)運(yùn)行,(對(duì)疑似缺陷)標(biāo)記之后,并同時(shí)直接報(bào)告給軟件工程師本人,也同時(shí)報(bào)告給當(dāng)值的安全工程師,”Facebook 安全工程經(jīng)理 Pieter Hooimeijer 說(shuō)道, “因此,它每天運(yùn)行數(shù)千次,在 2018 年中就發(fā)現(xiàn)了 1,500 個(gè)問(wèn)題。”
靜態(tài)分析工具本身并不會(huì)發(fā)現(xiàn)新的漏洞,只是根據(jù)被設(shè)定的規(guī)則來(lái)捕捉事物。 但是,這些工具不僅可以不厭其煩的一次又一次捕獲相同的錯(cuò)誤,還可以根據(jù)這些缺陷深入挖掘出一個(gè)新的規(guī)則。
靜態(tài)代碼分析工具對(duì)于 Facebook 來(lái)說(shuō)是獨(dú)一無(wú)二的,這個(gè)工具被廣泛應(yīng)用于安全組以及應(yīng)用開(kāi)發(fā)中。但是 Hooimeijer 指出,因?yàn)樗菫榱巳嬗成?Facebook 的特定代碼庫(kù)而量身定制的,因此 Zoncolan 特別有效。Hooimeijer 表示之前 Facebook 在 3 月份被披露以明文形式存儲(chǔ)數(shù)億用戶密碼后,公司就對(duì)該漏洞設(shè)置了規(guī)則,讓 Zoncolan 根據(jù)規(guī)則掃描潛在問(wèn)題。
Hooimeijer 表示:“四年前,我們不得不爭(zhēng)搶一群安全工程師,并開(kāi)始手動(dòng)梳理代碼尋找問(wèn)題。現(xiàn)在,我們使用 Zoncolan 來(lái)確保代碼庫(kù)中沒(méi)有其他類(lèi)似性質(zhì)的問(wèn)題。在這種情況下,我們創(chuàng)建了新的規(guī)則,在實(shí)踐中發(fā)現(xiàn)了類(lèi)似問(wèn)題。”擴(kuò)展 Zoncolan 檢測(cè)能力的新規(guī)則的靈感來(lái)自 Facebook 內(nèi)部代碼庫(kù),也包括該公司的 Bug 賞金計(jì)劃。
Zoncolan 采用了一種特別定制的方法來(lái)尋找安全漏洞,而不是更常用的尋找各種設(shè)計(jì)和性能缺陷的靜態(tài)分析方法,關(guān)注可識(shí)別的數(shù)據(jù)流及設(shè)計(jì)模式,作為減少靜態(tài)分析誤報(bào)的一種方法。不過(guò),F(xiàn)acebook 并不是唯一一家有自己定制開(kāi)發(fā)的代碼檢查工具的公司,谷歌也有自己的定制靜態(tài)分析工具,評(píng)估該公司龐大的 20 億行代碼庫(kù)。
“任何擁有良好軟件開(kāi)發(fā)生命周期的公司都有源代碼分析器,以確保他們的產(chǎn)品在投入前掃清一切缺陷”企業(yè)危機(jī)響應(yīng)咨詢服務(wù)公司 TrustedSec 的首席執(zhí)行官 David Kennedy 說(shuō), “大多數(shù)成熟的組織都使用靜態(tài)代碼分析器,因?yàn)樗钣袃r(jià)值的地方就是可以識(shí)別缺陷,當(dāng)然它并不涵蓋所有內(nèi)容。”
Kennedy 指出,像 Zoncolan 這樣的工具不會(huì)發(fā)現(xiàn)權(quán)限泄露,這導(dǎo)致 Facebook 在 9 月份遭遇 3000 萬(wàn)賬戶數(shù)據(jù)泄露問(wèn)題 ,源代碼分析器不會(huì)發(fā)現(xiàn)這一點(diǎn)。Facebook 過(guò)去幾年中最嚴(yán)重的問(wèn)題是包括與意外代碼錯(cuò)誤無(wú)關(guān)的基于用戶隱私權(quán)的問(wèn)題。
Hooimeijer 回應(yīng) Zoncolan 不是完美的解決方案。但他表示,鑒于 Facebook 在該工具上所做的投資,他希望該工具的某個(gè)版本有朝一日可以開(kāi)源,供其他組織使用。不過(guò),Zoncolan 在 Facebook 代碼中如此有效地捕獲 bug 是基于 Facebook 內(nèi)部開(kāi)發(fā)的,如果要在 Facebook 之外的環(huán)境中運(yùn)行,還需要增強(qiáng)靈活性,適配更多環(huán)境。
實(shí)現(xiàn)這一目標(biāo)的第一步是 Facebook 在 2018 年發(fā)布了一個(gè)名為 Pyre 的代碼檢查器,是為編程語(yǔ)言 Python 發(fā)布的開(kāi)源代碼檢查工具。該工具沒(méi)有 Zoncolan 的范圍廣、功能強(qiáng),但是 Facebook 準(zhǔn)備開(kāi)源的一個(gè)類(lèi)型范例。
“我們已經(jīng)投入了大量精力來(lái)構(gòu)建這個(gè),這個(gè)工具就是 Python 的 Zoncolan。”Hooimeijer 表示, “我們也希望在 Facebook 以外分享精彩的好工具。”安全社區(qū)將永遠(yuǎn)歡迎高質(zhì)量的開(kāi)源工具。但是,F(xiàn)acebook 需要不斷磨練每一個(gè)防守,以便在安全問(wèn)題滾雪球之前抓住,進(jìn)而保障用戶安全。
原文鏈接:《HOW FACEBOOK CATCHES BUGS IN ITS 100 MILLION LINES OF CODE》
