Před pár dny Google představil nový projekt open source, který má název «Vanir» který je umístěn jako aStatický analyzátor kódu určený k identifikaci zranitelností v softwarových projektech, konkrétně těch, které ještě nebyly opraveny prostřednictvím záplat.
Jak Vanir funguje je založen na databázi podpisů která obsahuje informace o známých zranitelnostech a odpovídajících záplatách, což umožňuje porovnat zdrojový kód s aplikovanými korekcemi k odhalení možných narušení bezpečnosti.
Vytvořením Vanir open source je naším cílem umožnit širší bezpečnostní komunitě přispívat a těžit z tohoto nástroje, což umožňuje širší přijetí a v konečném důsledku zlepšení bezpečnosti napříč různými ekosystémy.
Mezi hlavní výhody Vanir vynikají následující:
- Identifikace zranitelností ve forcích a kódu třetích stran
Vanir usnadňuje odhalování chybějících záplat ve větvích, modifikacích nebo výpůjčkách kódu mimo hlavní projekt. V ekosystému Android vám to umožňuje ověřit, zda výrobci původních zařízení správně aplikovali potřebné záplaty na své přizpůsobené verze platformy. - Analýza bez metadatových závislostí
Na rozdíl od jiných nástrojů Vanir nevyžaduje další informace, jako jsou čísla verzí, historie potvrzení nebo seznamy SBOM (Software Bill of Materials). Jejich přístup je založen výhradně na statické analýze existujícího zdrojového kódu. - Automatické generování podpisu
Vanir automatizuje vytváření podpisů z veřejných informací o zranitelnosti (CVE) a záplat publikovaných správci. To zjednodušuje aktualizaci a údržbu databáze podpisů. - Zvýšený výkon a účinnost
Spoléháním se na statickou analýzu zdrojového kódu nabízí Vanir výrazně lepší výkon ve srovnání s dynamickou analýzou nebo nástroji pro ověřování binárních sestav. - Soběstačnost a místní realizace
Tento nástroj umožňuje organizacím nasadit a provozovat infrastrukturu na jejich vlastních systémech, čímž odpadá nutnost obracet se na externí služby nebo se spoléhat na třetí strany. - Aktualizovaná a spolehlivá databáze
Vanir používá databázi podpisů podporovanou bezpečnostním týmem Google Android, což zajišťuje spolehlivé a aktuální pokrytí kritických zranitelností. - Integrace s CI/CD
Podpora integrace se systémy kontinuální integrace a kontinuálního doručování (CI/CD) umožňuje automatizovat detekci zranitelností ve vývojovém cyklu, což usnadňuje implementaci bezpečnostních procesů v DevSecOps. - Přizpůsobivost a flexibilita
Kromě detekce zranitelnosti lze Vanir upravit pro další úkoly, jako je identifikace klonování kódu, analýza duplikace nebo použití kódu se specifickými licencemi v jiných projektech.
Zatímco Vanir byl původně navržen pro Android, lze jej snadno přizpůsobit jiným ekosystémům s relativně malými úpravami, což z něj činí všestranný nástroj pro zlepšení celkového zabezpečení softwaru.
Složení Vanir
Vanir se skládá ze dvou složek hlavní:
- generátor podpisů
- detektor ztracených náplastí.
El generátor vytváří podpisy na základě popisů zranitelnosti (ve formátu OSV) a odkazy na odpovídající záplaty, kód zpracování odevzdává do konkrétních úložišť, jako jsou googlesource.com a git.codelinaro.org, s možností přidání podpory pro další služby pomocí obslužných rutin.
Jak přípravek Vanir působí?
Vanirův detektor analyzuje zdrojový kód úložiště a kontroluje opravy zranitelností jsou přítomny. Tato funkce se provádí pomocí pokročilých algoritmů S upřesněním signatur a analýzou více vzorů Vanir vytváří podrobnou zprávu, která upozorňuje na neopravená zranitelnosti, poskytuje odkazy na pozice kódu a odkazy na identifikátory CVE a aplikované záplaty.
Jako příklad pro pochopení kapacity Vanir z hlediska výkonu, toto můžete naskenovat zdrojový kód Android, S databází pokrývající více než 2000 zranitelností, za 10 až 20 minut na moderním PC. Míra falešně pozitivních výsledků, založená na dvou letech používání v rámci Google, zůstává nízká, kolem 2.72 %.
konečně jestli jsi zájem dozvědět se o tom více, můžete zkontrolovat podrobnosti v následující odkaz.