米Facebookは、Pythonコードにおけるセキュリティやプライバシーに関する問題点を検出する、オープンソースの静的解析ツール「Pysa」を、8月7日(現地時間)に公開した。
Pysaは「Python Static Analyzer」の頭文字を取ったもので、PythonのタイプチェッカーであるPyre上に構築されている。同社内では、Pythonのコードが、技術的なプライバシーポリシーに基づいてユーザーデータへのアクセスや開示を防ぐように設計された内部フレームワークを適切に使用しているかを確認したり、XSSやSQLインジェクションといった、一般的なWebアプリにおけるセキュリティ問題を検出したりするのに用いられる。
とりわけ、Instagramのサーバーを強化するためのコードベースのスケーリング支援に使用されており、手動なら数週間~数か月はかかるようなコード変更の際のコードベース品質とセキュリティの確認を、約1時間で実行できる。
同社は、Pythonでの開発においてDjangoやTornadoといったオープンソースのPythonサーバーフレームワークを使用していることもあり、PysaはDjangoやTornadoを用いたプロジェクトにおける、セキュリティ上の問題の検出に最初から対応している。未対応のフレームワークでPysaを使用する場合も、わずかな変更で対応が可能になるという。
なお、PysaはFacebookの静的解析ツール「Zoncolan」と同じアルゴリズムを採用しており、一部のコードは「Zoncolan」と共有している。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
