Zoncolan：Facebook正在30分钟内测试1亿行代码

Zoncolan这是Facebook工具，用于查找能够在半小时内分析所有代码的安全漏洞

多年来，Facebook一直致力于Zoncolan工具，该工具使用该公司进行静态代码分析。负责任的开发团队第一次在Facebook工程博客中公开展示了该项目的细节。 Zoncolan的表现尤其令人印象深刻。

因为根据该出版物，Facebook的网络代码目前覆盖了语言黑客中超过1亿行代码。借助该工具，可在30分钟内完成检查。在性能方面，团队强调了这种巨大的可扩展性，但也指出，当然，并非所有错误都可以在程序中找到，而只能找到某些错误类。尽管如此，该任务还是防止了成千上万的潜在安全漏洞。

Zoncolan充当代码的解析器，创建代码的控制流图和调用图的表示，这是函数的行为及其相互之间的交互。 Zoncolan的想法是使用这种抽象来跟踪输入数据的历史。该过程与一系列规则进行比较。如果Zoncolan攻击其中一个存储的规则，安全团队的开发人员会检查受影响的代码。

Facebook声称Zoncolan使用一种称为“抽象解释”的技术来跟踪代码库中的用户控制条目。分析代码，它能够在呼叫K线走势图中构建表示代码功能的结构，一方面是流控制图，另一方面是它们如何交互。然后，Zoncolan会创建每个函数行为的摘要，并仅记录与潜在危险信息流相关的属性。

Facebook将该工具描述为其开发工作的一个组成部分。该工具的名称显然来自意大利的一座山。 Monte Zoncolan是欧洲骑行者最陡峭的攀登之一。 Giro d'Italia男子比赛和Giro Rosa女子比赛都将这座山作为舞台目的地。