Fa pocs dies Google va donar a conèixer un nou projecte de codi obert, el qual té com a nom «vanir» el qual es posiciona com un analitzador està tic de codi dissenyat per identificar vulnerabilitats en projectes de programari, especÃficament aquelles que encara no han estat corregides mitjançant pegats.
El funcionament de Vanir es basa en una base de dades de signatures que conté informació sobre vulnerabilitats conegudes i els pegats corresponents, cosa que permet comparar el codi font amb les correccions aplicades per detectar possibles bretxes de seguretat.
En fer de Vanir un codi obert, el nostre objectiu és permetre que la comunitat de seguretat més à mplia contribueixi a aquesta eina i se'n beneficiï, cosa que permetrà una adopció més à mplia i, en última instà ncia, millorarà la seguretat en diversos ecosistemes.
Entre els principals beneficis de Vanir es destaquen els següents:
- Identificació de vulnerabilitats en bifurcacions i codi de tercers
Vanir facilita la detecció de pegats faltants en bifurcacions, modificacions o préstecs de codi aliens al projecte principal. A l'ecosistema d'Android, això permet verificar si els fabricants de dispositius originals han aplicat correctament els pegats necessaris a les seves versions personalitzades de la plataforma. - Anà lisi sense dependències de metadades
A diferència d'altres eines, Vanir no requereix informació addicional com ara números de versió, historial de confirmacions o llistes SBOM (Software Bill of Materials). El seu enfocament es basa exclusivament en lanà lisi està tica del codi font existent. - Generació automà tica de signatures
Vanir automatitza la creació de firmes a partir d'informació pública sobre vulnerabilitats (CVE) i els pegats publicats pels mantenidors. Això simplifica l'actualització i el manteniment de la base de dades de signatures. - Major rendiment i eficiència
En basar-se en anà lisis està tiques del codi font, Vanir ofereix un rendiment significativament superior en comparació amb eines d'anà lisi dinà mica o verificació d'assemblats binaris. - Autosuficiència i implementació local
L'eina permet a les organitzacions implementar i executar la infraestructura en els seus sistemes, eliminant la necessitat de recórrer a serveis externs o dependre de tercers. - Base de dades actualitzada i fiable
Vanir utilitza una base de dades de signatures recolzada per l'equip de seguretat de Google Android, cosa que garanteix una cobertura fiable i actualitzada de vulnerabilitats crÃtiques. - Integració amb CI/CD
El suport per integrar-se amb sistemes d'integració i lliurament continu (CI/CD) permet automatitzar la detecció de vulnerabilitats al cicle de desenvolupament, facilitant la implementació de processos de seguretat a DevSecOps. - Adaptabilitat i flexibilitat
Més enllà de la detecció de vulnerabilitats, Vanir es pot adaptar per a altres tasques, com ara la identificació de clonació de codi, l'anà lisi de duplicació o l'ús de codi amb llicències especÃfiques en altres projectes.
Si bé Vanir es va dissenyar inicialment per a Android, es pot adaptar fà cilment a altres ecosistemes amb modificacions relativament petites, cosa que el converteix en una eina versà til per millorar la seguretat del programari en general.
Composició de Vanir
vanir consta de dos components principals:
- un generador de signatures
- un detector de pegats perduts.
El generador crea firmes basades en descripcions de vulnerabilitats (en format OSV) i enllaços als pegats corresponents, processant confirmacions de codi a repositoris especÃfics com googlesource.com i git.codelinaro.org, amb la possibilitat d'afegir suport per a altres serveis mitjançant controladors d'extracció.
¿ Com funciona Vanir?
El detector de Vanir analitza el codi font d'un repositori i verifica si les correccions de vulnerabilitats són presents. Aquesta funció la realitza utilitzant algorismes avançats de refinament de firmes i anà lisi de patrons múltiples, amb això Vanir produeix un informe detallat que destaca les vulnerabilitats no aplicades, proporcionant enllaços a les posicions del codi i referències als identificadors CVE i pegats aplicats.
A mesura d'exemple per entendre en termes de rendiment la capacitat Vanir, aquest podeu escanejar el codi font d'Android, amb una base de dades que cobreix més de 2000 vulnerabilitats, en un temps entre 10 i 20 minuts en un PC modern. La taxa de falsos positius, basada en dos anys d'ús dins de Google, es manté baixa al voltant del 2.72%.
Finalment si estàs interessat a poder conèixer més sobre això, Pots consultar els detalls al següent enllaç.