'Yan kwanaki da suka gabata Google ya kaddamar da wani sabon aiki bude tushen, wanda ke da sunan «Vanir»wanda aka sanya a matsayin aMai nazarin lambar a tsaye wanda aka ƙera don gano lahani a cikin ayyukan software, musamman waɗanda har yanzu ba a gyara su ta hanyar faci ba.
Yadda Vanir ke aiki dogara ne a kan sa hannu database wanda ya ƙunshi bayanai game da raunin da aka sani da faci masu dacewa, wanda ke ba da damar kwatanta lambar tushe tare da gyare-gyaren da aka yi amfani da su don gano yiwuwar warware matsalar tsaro.
Ta hanyar buɗe tushen Vanir, burinmu shine mu ƙyale manyan jami'an tsaro su ba da gudummawa da fa'ida daga wannan kayan aikin, da ba da damar ɗaukar nauyi da kuma inganta tsaro a kowane yanayi daban-daban.
Daga cikin babban amfanin Vanir da wadannan tsaya a waje:
- Gano lahani a cikin cokali mai yatsu da lambar ɓangare na uku
Vanir yana sauƙaƙa gano facin da ya ɓace a cikin cokali mai yatsu, gyare-gyare, ko lamunin lamuni a wajen babban aikin. A cikin yanayin yanayin Android, wannan yana ba ku damar tabbatar da ko masana'antun na'urori na asali sun yi amfani da facin da suka dace zuwa nau'ikan dandamali na musamman. - Bincike ba tare da dogaron metadata ba
Ba kamar sauran kayan aikin ba, Vanir baya buƙatar ƙarin bayani kamar lambobin sigar, ƙaddamar da tarihi, ko jerin sunayen SBOM (Software Bill of Materials). Hanyarsu ta dogara ne kawai akan bincike a tsaye na lambar tushe data kasance. - Ƙirƙirar sa hannu ta atomatik
Vanir yana sarrafa ƙirƙira sa hannun hannu daga bayanan rashin lafiyar jama'a (CVE) da faci da masu kiyayewa suka buga. Wannan yana sauƙaƙe sabuntawa da kiyaye bayanan sa hannu. - Ƙara aiki da inganci
Ta hanyar dogaro da tsayayyen bincike na lambar tushe, Vanir yana ba da ingantaccen aiki sosai idan aka kwatanta da bincike mai ƙarfi ko kayan aikin tabbatarwa na binaryar. - Wadatar kai da aiwatar da gida
Kayan aiki yana bawa ƙungiyoyi damar turawa da gudanar da abubuwan more rayuwa akan tsarin nasu, kawar da buƙatar juyawa zuwa sabis na waje ko dogara ga wasu kamfanoni. - Sabuntawa kuma abin dogaro
Vanir yana amfani da bayanan sa hannu wanda ƙungiyar tsaro ta Android ta goyi bayansa, yana tabbatar da abin dogaro kuma na yau da kullun na munanan lahani. - Haɗuwa da CI/CD
Taimako don haɗawa tare da ci gaba da haɗin kai da ci gaba da bayarwa (CI / CD) tsarin yana ba da damar yin amfani da atomatik gano raunin da ya faru a cikin ci gaba na ci gaba, sauƙaƙe aiwatar da matakan tsaro a cikin DevSecOps. - Daidaitawa da sassauci
Bayan gano raunin rauni, Vanir za a iya daidaita shi don wasu ayyuka, kamar gano cloning code, nazarin kwafi, ko amfani da lamba tare da takamaiman lasisi a wasu ayyukan.
Yayin da aka kera Vanir da farko don Android, ana iya daidaita shi cikin sauƙi ga sauran halittu masu rai tare da ƙananan gyare-gyare, yana mai da shi kayan aiki iri-iri don inganta tsaro na software gaba ɗaya.
Sunan mahaifi Vanir
Vanir ya ƙunshi sassa biyu main:
- janareta na sa hannu
- batacce mai gano faci.
El janareta ya ƙirƙira sa hannu bisa kwatancen rauni (a cikin tsarin OSV) da kuma hanyoyin haɗin kai zuwa faci masu dacewa, lambar sarrafawa ta ƙaddamar da takamaiman ma'ajiyar bayanai kamar googlesource.com da git.codelinaro.org, tare da yuwuwar ƙara tallafi ga wasu ayyuka ta amfani da masu ɗaukar nauyi.
Ta yaya Vanir ke aiki?
Mai gano Vanir yayi nazarin lambar tushe na ma'aji kuma yana bincika gyare-gyare na vulnerabilities yanzu haka. Ana yin wannan aikin amfani da ci-gaba algorithms Tare da gyare-gyaren sa hannu da ƙididdigar ƙididdiga masu yawa, Vanir yana samar da cikakken rahoto wanda ke nuna alamun rashin lahani, samar da hanyoyin haɗin kai zuwa matsayi na lamba da nassoshi ga masu gano CVE da facin da aka yi amfani da su.
A matsayin misali don fahimtar iyawar Vanir dangane da aikin, wannan za ka iya duba tushen code na Android, Tare da bayanan da ke ɗauke da lahani fiye da 2000, a cikin mintuna 10 zuwa 20 akan PC na zamani. Adadin tabbataccen ƙarya, dangane da shekaru biyu na amfani a cikin Google, ya kasance ƙasa da ƙasa, kusan 2.72%.
a karshe idan kun kasance sha'awar ƙarin sani game da shi, zaku iya bincika cikakkun bayanai a cikin bin hanyar haɗi.