Prije nekoliko dana Google je predstavio novi projekt open source, koji ima naziv «Vanir»koji se postavlja kao aStatički analizator koda dizajniran za prepoznavanje ranjivosti u softverskim projektima, posebno onima koji još nisu ispravljeni kroz zakrpe.
Kako Vanir djeluje temelji se na bazi podataka potpisa koji sadrži informacije o poznatim ranjivostima i odgovarajućim zakrpama, što omogućuje usporedbu izvornog koda s primijenjenim ispravcima kako bi se otkrile moguće povrede sigurnosti.
Čineći Vanir otvorenim kodom, naš je cilj omogućiti široj sigurnosnoj zajednici da doprinese i ima koristi od ovog alata, omogućujući širu primjenu i u konačnici poboljšavajući sigurnost u različitim ekosustavima.
Između glavne prednosti Vanira ističu se:
- Identificiranje ranjivosti u račvama i kodu treće strane
Vanir olakšava otkrivanje zakrpa koje nedostaju u račvama, izmjenama ili posuđivanjima koda izvan glavnog projekta. U ekosustavu Android to vam omogućuje da provjerite jesu li izvorni proizvođači uređaja pravilno primijenili potrebne zakrpe na svoje prilagođene verzije platforme. - Analiza bez ovisnosti o metapodacima
Za razliku od drugih alata, Vanir ne zahtijeva dodatne informacije kao što su brojevi verzija, povijest predaje ili popisi SBOM (software Bill of Materials). Njihov pristup temelji se isključivo na statičkoj analizi postojećeg izvornog koda. - Automatsko generiranje potpisa
Vanir automatizira stvaranje potpisa iz javnih informacija o ranjivosti (CVE) i zakrpa koje objavljuju održavatelji. To pojednostavljuje ažuriranje i održavanje baze podataka potpisa. - Veća izvedba i učinkovitost
Oslanjajući se na statičku analizu izvornog koda, Vanir nudi znatno bolje performanse u usporedbi s dinamičkom analizom ili alatima za provjeru binarnih sklopova. - Samodostatnost i lokalna implementacija
Alat omogućuje organizacijama da postave i pokrenu infrastrukturu na vlastitim sustavima, eliminirajući potrebu obraćanja vanjskim uslugama ili oslanjanja na treće strane. - Ažurirana i pouzdana baza podataka
Vanir koristi bazu podataka potpisa koju podržava Google Android sigurnosni tim, osiguravajući pouzdanu i ažurnu pokrivenost kritičnih ranjivosti. - Integracija s CI/CD
Podrška za integraciju sa sustavima kontinuirane integracije i kontinuirane isporuke (CI/CD) omogućuje automatiziranje otkrivanja ranjivosti u razvojnom ciklusu, olakšavajući implementaciju sigurnosnih procesa u DevSecOps. - Prilagodljivost i fleksibilnost
Osim otkrivanja ranjivosti, Vanir se može prilagoditi za druge zadatke, kao što je identificiranje kloniranja koda, analiza dupliciranja ili korištenje koda s određenim licencama u drugim projektima.
Iako je Vanir prvobitno dizajniran za Android, može se lako prilagoditi drugim ekosustavima uz relativno male izmjene, što ga čini svestranim alatom za poboljšanje ukupne sigurnosti softvera.
Sastav Vanira
Vanir sastoji se od dvije komponente glavni:
- generator potpisa
- detektor izgubljene zakrpe.
El generator stvara potpise na temelju opisa ranjivosti (u OSV formatu) i poveznicama na odgovarajuće zakrpe, kod za obradu obvezuje se na određena spremišta kao što su googlesource.com i git.codelinaro.org, uz mogućnost dodavanja podrške za druge usluge pomoću rukovatelja povlačenjem.
Kako Vanir djeluje?
Vanir detektor analizira izvorni kod repozitorija i provjerava popravke ranjivosti su prisutni. Ova se funkcija izvodi koristeći napredne algoritme Uz doradu potpisa i analizu višestrukih uzoraka, Vanir proizvodi detaljno izvješće koje ističe nezakrpane ranjivosti, pružajući poveznice na pozicije koda i reference na CVE identifikatore i primijenjene zakrpe.
Kao primjer za razumijevanje Vanir kapaciteta u smislu izvedbe, ovo možete skenirati izvorni kod Androida, S bazom podataka koja pokriva više od 2000 ranjivosti, za 10 do 20 minuta na modernom računalu. Stopa lažno pozitivnih rezultata, temeljena na dvije godine korištenja unutar Googlea, i dalje je niska, oko 2.72%.
konačno ako jesi zainteresiran za saznanje više o tome, detalje možete provjeriti u sljedeći link.