Prieš kelias dienas „Google“ pristatė naują projektą atviro kodo, kurio pavadinimas «Vanir» kuri yra išdėstyta kaip aStatinis kodo analizatorius, skirtas pažeidžiamoms vietoms nustatyti programinės įrangos projektuose, ypač tuose, kurie dar nebuvo ištaisyti naudojant pataisas.
Kaip veikia Vanir yra pagrįsta parašų duomenų baze kuriame yra informacijos apie žinomus pažeidžiamumus ir atitinkamus pataisymus, kuri leidžia palyginti šaltinio kodą su pritaikytais pataisymais, siekiant aptikti galimus saugumo pažeidimus.
Sukūrę Vanir atvirojo kodo, mūsų tikslas yra leisti platesnei saugumo bendruomenei prisidėti prie šio įrankio ir gauti naudos iš jo, leidžiant plačiau pritaikyti ir galiausiai pagerinti saugumą įvairiose ekosistemose.
Tarp Pagrindiniai Vanir privalumai išsiskiria:
- Šakių ir trečiosios šalies kodo pažeidžiamumo nustatymas
Vanir leidžia lengvai aptikti trūkstamus pataisymus šakutėse, modifikacijas ar pasiskolintus kodus už pagrindinio projekto ribų. „Android“ ekosistemoje tai leidžia patikrinti, ar originalių įrenginių gamintojai tinkamai pritaikė reikiamus pataisymus savo pritaikytoms platformos versijoms. - Analizė be priklausomybių nuo metaduomenų
Skirtingai nuo kitų įrankių, Vanir nereikalauja papildomos informacijos, pvz., versijų numerių, įsipareigojimų istorijos ar SBOM (Software Bill of Materials) sąrašų. Jų požiūris yra pagrįstas tik statine esamo šaltinio kodo analize. - Automatinis parašo generavimas
Vanir automatizuoja parašų kūrimą iš viešosios pažeidžiamumo informacijos (CVE) ir prižiūrėtojų paskelbtų pataisų. Tai supaprastina parašų duomenų bazės atnaujinimą ir priežiūrą. - Padidėjęs našumas ir efektyvumas
Pasikliaudama statine šaltinio kodo analize, „Vanir“ siūlo žymiai geresnį našumą, palyginti su dinamine analize ar dvejetainiais surinkimo tikrinimo įrankiais. - Savarankiškas ir vietinis įgyvendinimas
Šis įrankis leidžia organizacijoms diegti ir valdyti infrastruktūrą savo sistemose, todėl nereikia kreiptis į išorines paslaugas arba pasikliauti trečiosiomis šalimis. - Atnaujinta ir patikima duomenų bazė
„Vanir“ naudoja parašų duomenų bazę, kurią palaiko „Google Android“ saugos komanda, užtikrindama patikimą ir naujausią kritinių spragų aprėptį. - Integracija su CI/CD
Integravimo su nuolatinio integravimo ir nuolatinio pristatymo (CI/CD) sistemomis palaikymas leidžia automatizuoti pažeidžiamumų aptikimą kūrimo cikle, palengvinant DevSecOps saugos procesų įgyvendinimą. - Pritaikymas ir lankstumas
Be pažeidžiamumo aptikimo, „Vanir“ gali būti pritaikyta ir kitoms užduotims, pavyzdžiui, kodo klonavimui, dubliavimo analizei arba kodo su konkrečiomis licencijomis naudojimui kituose projektuose.
Nors „Vanir“ iš pradžių buvo sukurta „Android“, ją galima lengvai pritaikyti kitoms ekosistemoms su palyginti nedideliais pakeitimais, todėl tai yra universalus įrankis bendram programinės įrangos saugumui pagerinti.
Vanir sudėtis
Vanir susideda iš dviejų komponentų pagrindinis:
- parašų generatorius
- pamestas pleistras detektorius.
El generatorius sukuria parašus pagal pažeidžiamumo aprašymus (OSV formatu) ir nuorodas į atitinkamas pataisas, apdorojimo kodas įtraukiamas į konkrečias saugyklas, pvz., googlesource.com ir git.codelinaro.org, su galimybe pridėti palaikymą kitoms paslaugoms naudojant ištraukimo tvarkykles.
Kaip veikia Vanir?
Vaniro detektorius analizuoja saugyklos šaltinio kodą ir tikrina, ar nėra pataisymų pažeidžiamumų yra. Ši funkcija atliekama naudojant pažangius algoritmus Patobulindama parašą ir atlikdama kelių šablonų analizę, „Vanir“ parengia išsamią ataskaitą, kurioje pabrėžiami nepataisyti pažeidžiamumai, pateikiamos nuorodos į kodo pozicijas ir nuorodos į CVE identifikatorius bei pritaikytas pataisas.
Kaip pavyzdį suprasti Vanir pajėgumą našumo požiūriu, tai galite nuskaityti „Android“ šaltinio kodą, Su duomenų baze, apimančia daugiau nei 2000 pažeidžiamumų, per 10–20 minučių šiuolaikiniame kompiuteryje. Klaidingai teigiamų rezultatų rodiklis, pagrįstas dvejų metų naudojimu „Google“, išlieka žemas – apie 2.72 proc.
pagaliau jei esi domina sužinoti daugiau apie tai, išsamią informaciją galite patikrinti sekanti nuoroda.