Beberapa hari yang lalu Google meluncurkan proyek baru open source, yang memiliki nama «vanir» yang diposisikan sebagai aPenganalisis kode statis dirancang untuk mengidentifikasi kerentanan dalam proyek perangkat lunak, khususnya yang belum diperbaiki melalui patch.
Bagaimana Vanir bekerja didasarkan pada database tanda tangan yang berisi informasi tentang kerentanan yang diketahui dan patch terkait, yang memungkinkan membandingkan kode sumber dengan koreksi yang diterapkan untuk mendeteksi kemungkinan pelanggaran keamanan.
Dengan menjadikan Vanir open source, tujuan kami adalah memungkinkan komunitas keamanan yang lebih luas untuk berkontribusi dan mendapatkan manfaat dari alat ini, memungkinkan adopsi yang lebih luas dan pada akhirnya meningkatkan keamanan di berbagai ekosistem.
Di Antara manfaat utama Vanir yang menonjol berikut ini:
- Mengidentifikasi kerentanan pada fork dan kode pihak ketiga
Vanir memudahkan untuk mendeteksi patch yang hilang di fork, modifikasi, atau peminjaman kode di luar proyek utama. Di ekosistem Android, hal ini memungkinkan Anda memverifikasi apakah produsen perangkat asli telah menerapkan patch yang diperlukan dengan benar ke versi platform khusus mereka. - Analisis tanpa ketergantungan metadata
Tidak seperti alat lainnya, Vanir tidak memerlukan informasi tambahan seperti nomor versi, riwayat penerapan, atau daftar SBOM (Software Bill of Materials). Pendekatan mereka hanya didasarkan pada analisis statis dari kode sumber yang ada. - Pembuatan tanda tangan otomatis
Vanir mengotomatiskan pembuatan tanda tangan dari informasi kerentanan publik (CVE) dan patch yang diterbitkan oleh pengelola. Ini menyederhanakan pembaruan dan pemeliharaan database tanda tangan. - Peningkatan kinerja dan efisiensi
Dengan mengandalkan analisis statis kode sumber, Vanir menawarkan kinerja yang jauh lebih baik dibandingkan dengan analisis dinamis atau alat verifikasi perakitan biner. - Swasembada dan implementasi lokal
Alat ini memungkinkan organisasi untuk menerapkan dan menjalankan infrastruktur pada sistem mereka sendiri, sehingga menghilangkan kebutuhan untuk beralih ke layanan eksternal atau bergantung pada pihak ketiga. - Basis data yang diperbarui dan andal
Vanir menggunakan database tanda tangan yang didukung oleh tim keamanan Google Android, memastikan cakupan kerentanan kritis yang andal dan terkini. - Integrasi dengan CI/CD
Dukungan untuk integrasi dengan sistem integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD) memungkinkan otomatisasi deteksi kerentanan dalam siklus pengembangan, memfasilitasi penerapan proses keamanan di DevSecOps. - Adaptasi dan fleksibilitas
Selain deteksi kerentanan, Vanir dapat diadaptasi untuk tugas lain, seperti mengidentifikasi kloning kode, analisis duplikasi, atau menggunakan kode dengan lisensi khusus di proyek lain.
Meskipun Vanir pada awalnya dirancang untuk Android, Vanir dapat dengan mudah diadaptasi ke ekosistem lain dengan sedikit modifikasi, menjadikannya alat serbaguna untuk meningkatkan keamanan perangkat lunak secara keseluruhan.
Komposisi Vanir
vanir terdiri dari dua komponen utama:
- generator tanda tangan
- detektor patch yang hilang.
El generator membuat tanda tangan berdasarkan deskripsi kerentanan (dalam format OSV) dan tautan ke tambalan yang sesuai, kode pemrosesan dikomit ke repositori tertentu seperti googlesource.com dan git.codelinaro.org, dengan kemungkinan menambahkan dukungan untuk layanan lain menggunakan penangan tarik.
Bagaimana cara kerja Vanir?
Detektor Vanir menganalisis kode sumber repositori dan memeriksa perbaikannya kerentanan mereka hadir. Fungsi ini dilakukan menggunakan algoritma canggih Dengan penyempurnaan tanda tangan dan analisis berbagai pola, Vanir menghasilkan laporan terperinci yang menyoroti kerentanan yang belum ditambal, menyediakan tautan ke posisi kode dan referensi ke pengidentifikasi CVE dan tambalan yang diterapkan.
Sebagai contoh untuk memahami kapasitas Vanir dari segi performa, ini Anda dapat memindai kode sumber Android, Dengan database yang mencakup lebih dari 2000 kerentanan, dalam 10 hingga 20 menit pada PC modern. Tingkat positif palsu, berdasarkan penggunaan Google selama dua tahun, masih rendah, sekitar 2.72%.
akhirnya jika kamu tertarik untuk mengetahui lebih banyak tentangnya, Anda dapat memeriksa detailnya di link berikut.