ReDoS-támadásoknak ellenáll a TRE Python-kötése — 10 millió karakteren is gyors
A TRE könyvtár új Python-kötése a beépített 're' modullal szemben védelmet nyújt a reguláris kifejezés alapú szolgáltatásmegtagadási (ReDoS) támadások ellen.
Robusztus regex teljesítményt mutat be egy új projekt: a TRE reguláris kifejezés könyvtár minimális Python ctypes kötése, amely kiemeli a TRE immunitását azokkal a ReDoS-támadásokkal szemben, amelyek megbénítják a Python beépített re modulját — írja Simon Willison Weblogja.
A kulcsfontosságú teljesítménytesztek szerint a TRE még a hírhedt „gonosz” mintákat is sokkal gyorsabban dolgozza fel hatalmas, 10 millió karakteres bemeneteken, mint a re aprókon, és lineárisan skálázódik a bemeneti mérettel, nem pedig exponenciálisan.
A TRE robusztussága elsősorban annak köszönhető, hogy nem támogatja a visszalépést (backtracking). A könyvtárat Ville Laurikari fejlesztette, és még antirez is beépítette a Redisbe, ami már önmagában is a megbízhatóság jele.
Simon Willison kísérleti Python-kötést készített Claude Code segítségével, és tesztelte a könyvtár ellen a rosszindulatú reguláris kifejezéseket. A TRE sokkal jobban kezeli ezeket, mint a Python standard könyvtári implementációja, ami jelentős előnyt jelent a biztonság szempontjából, különösen nagy méretű adatok feldolgozásakor.