몇일 전에 구글이 새로운 프로젝트를 공개했다. «라는 이름의 오픈 소스Vanir»로 위치하는취약점을 식별하도록 설계된 정적 코드 분석기 소프트웨어 프로젝트, 특히 아직 패치를 통해 수정되지 않은 프로젝트의 경우.
바니르의 작동 원리 서명 데이터베이스를 기반으로 합니다. 정보를 담고 있는 것 알려진 취약점과 해당 패치에 대해 이를 통해 소스 코드를 적용된 수정 사항과 비교하여 가능한 보안 침해를 감지할 수 있습니다.
Vanir를 오픈 소스로 만듦으로써 우리의 목표는 더 광범위한 보안 커뮤니티가 이 도구에 기여하고 혜택을 누릴 수 있도록 하여 더 폭넓은 채택을 가능하게 하고 궁극적으로 다양한 생태계 전반의 보안을 향상시키는 것입니다.
중 Vanir의 주요 이점 다음이 두드러집니다.
- 포크 및 타사 코드의 취약점 식별
Vanir를 사용하면 기본 프로젝트 외부에서 포크, 수정 또는 코드 차용에서 누락된 패치를 쉽게 감지할 수 있습니다. Android 생태계에서는 이를 통해 원래 장치 제조업체가 플랫폼의 맞춤형 버전에 필요한 패치를 올바르게 적용했는지 확인할 수 있습니다. - 메타데이터 종속성이 없는 분석
다른 도구와 달리 Vanir에는 버전 번호, 커밋 기록 또는 SBOM(Software Bill of Materials) 목록과 같은 추가 정보가 필요하지 않습니다. 이들의 접근 방식은 기존 소스 코드의 정적 분석에만 기반을 두고 있습니다. - 자동 서명 생성
Vanir는 공개 취약성 정보(CVE) 및 유지관리자가 게시한 패치로부터 서명 생성을 자동화합니다. 이렇게 하면 서명 데이터베이스 업데이트 및 유지 관리가 단순화됩니다. - 더 뛰어난 성능과 효율성
Vanir는 소스 코드의 정적 분석에 의존하여 동적 분석 또는 바이너리 어셈블리 검증 도구에 비해 훨씬 더 나은 성능을 제공합니다. - 자급자족 및 현지 구현
이 도구를 사용하면 조직은 자체 시스템에 인프라를 배포하고 실행할 수 있으므로 외부 서비스에 의존하거나 타사에 의존할 필요가 없습니다. - 업데이트되고 안정적인 데이터베이스
Vanir는 Google Android 보안 팀이 지원하는 서명 데이터베이스를 사용하여 중요한 취약점에 대한 안정적인 최신 적용을 보장합니다. - CI/CD와의 통합
CI/CD(지속적 통합 및 지속적 전달) 시스템과의 통합을 지원하면 개발 주기에서 취약점 감지를 자동화하여 DevSecOps의 보안 프로세스 구현을 촉진할 수 있습니다. - 적응성 및 유연성
취약점 탐지 외에도 Vanir는 코드 복제 식별, 중복 분석 또는 다른 프로젝트에서 특정 라이선스가 있는 코드 사용과 같은 다른 작업에 적용할 수 있습니다.
Vanir는 처음에는 Android용으로 설계되었지만 상대적으로 약간의 수정만으로 다른 생태계에 쉽게 적용할 수 있으므로 전반적인 소프트웨어 보안을 향상시키는 다용도 도구가 됩니다.
바니르의 구성성분
Vanir 두 가지 구성 요소로 구성 본관:
- 서명 생성기
- 분실된 패치 탐지기.
El 생성기는 취약점 설명을 기반으로 서명을 생성합니다. (OSV 형식) 및 해당 패치에 대한 링크, 처리 코드는 googlesource.com 및 git.codelinaro.org와 같은 특정 저장소에 커밋되며 풀 핸들러를 사용하여 다른 서비스에 대한 지원을 추가할 수 있습니다.
바니르는 어떻게 작동하나요?
바니르 탐지기 저장소의 소스 코드를 분석하고 수정 사항을 확인합니다. 취약점 그들은 존재한다. 이 기능이 수행됩니다 고급 알고리즘을 사용하여 Vanir는 서명 개선 및 다중 패턴 분석을 통해 패치되지 않은 취약점을 강조하는 자세한 보고서를 생성하고 코드 위치에 대한 링크와 CVE 식별자 및 적용된 패치에 대한 참조를 제공합니다.
성능 측면에서 Vanir 용량을 이해하는 예로서 다음과 같습니다. Android 소스 코드를 스캔할 수 있습니다. 2000개 이상의 취약점을 다루는 데이터베이스를 통해 최신 PC에서는 10~20분 안에 완료됩니다. Google 내에서 2.72년간의 사용을 기준으로 한 오탐률은 약 XNUMX%로 여전히 낮습니다.
마침내 당신이 있다면 그것에 대해 더 알고 싶어에서 세부 정보를 확인할 수 있습니다. 다음 링크.