Pirms dažām dienām Google atklāja jaunu projektu atvērtā koda nosaukums, kura nosaukums ir «Vanir», kas ir novietots kā aStatiskā koda analizators, kas paredzēts ievainojamību identificēšanai programmatūras projektos, īpaši tajos, kas vēl nav izlaboti ar ielāpu palīdzību.
Kā Vanir darbojas ir balstīta uz parakstu datubāzi kas satur informāciju par zināmajām ievainojamībām un atbilstošajiem ielāpiem, kas ļauj salīdzināt avota kodu ar pielietotajiem labojumiem, lai atklātu iespējamos drošības pārkāpumus.
Padarot Vanir atvērtā pirmkoda versiju, mūsu mērķis ir ļaut plašākai drošības kopienai sniegt ieguldījumu un gūt labumu no šī rīka, ļaujot plašāk izmantot un galu galā uzlabot drošību dažādās ekosistēmās.
Starp galvenās Vanir priekšrocības izceļas:
- Forks un trešās puses koda ievainojamību identificēšana
Vanir ļauj viegli noteikt trūkstošos ielāpus dakšās, modifikācijas vai koda aizņēmumus ārpus galvenā projekta. Android ekosistēmā tas ļauj pārbaudīt, vai sākotnējie ierīču ražotāji ir pareizi ievietojuši nepieciešamos ielāpus savām pielāgotajām platformas versijām. - Analīze bez metadatu atkarībām
Atšķirībā no citiem rīkiem, Vanir neprasa papildu informāciju, piemēram, versiju numurus, saistību vēsturi vai SBOM (Software Bill of Materials) sarakstus. Viņu pieeja ir balstīta tikai uz esošā pirmkoda statisku analīzi. - Automātiska parakstu ģenerēšana
Vanir automatizē parakstu izveidi no publiskās ievainojamības informācijas (CVE) un uzturētāju publicētajiem ielāpiem. Tas vienkāršo parakstu datu bāzes atjaunināšanu un uzturēšanu. - Paaugstināta veiktspēja un efektivitāte
Paļaujoties uz avota koda statisko analīzi, Vanir piedāvā ievērojami labāku veiktspēju salīdzinājumā ar dinamiskās analīzes vai binārās montāžas pārbaudes rīkiem. - Pašpietiekamība un vietējā īstenošana
Šis rīks ļauj organizācijām izvietot un vadīt infrastruktūru savās sistēmās, novēršot nepieciešamību vērsties pie ārējiem pakalpojumiem vai paļauties uz trešajām pusēm. - Atjaunināta un uzticama datu bāze
Vanir izmanto parakstu datu bāzi, ko nodrošina Google Android drošības komanda, nodrošinot uzticamu un atjauninātu kritisko ievainojamību pārklājumu. - Integrācija ar CI/CD
Atbalsts integrācijai ar nepārtrauktas integrācijas un nepārtrauktas piegādes (CI/CD) sistēmām ļauj automatizēt ievainojamību noteikšanu izstrādes ciklā, atvieglojot drošības procesu ieviešanu DevSecOps. - Pielāgošanās spēja un elastība
Papildus ievainojamības noteikšanai, Vanir var pielāgot citiem uzdevumiem, piemēram, koda klonēšanas identificēšanai, dublēšanas analīzei vai koda izmantošanai ar īpašām licencēm citos projektos.
Lai gan Vanir sākotnēji tika izstrādāts operētājsistēmai Android, to var viegli pielāgot citām ekosistēmām ar salīdzinoši nelielām modifikācijām, padarot to par daudzpusīgu rīku vispārējās programmatūras drošības uzlabošanai.
Vanir sastāvs
Vanir sastāv no divām sastāvdaļām galvenais:
- parakstu ģenerators
- pazaudēts ielāpu detektors.
El ģenerators izveido parakstus, pamatojoties uz ievainojamības aprakstiem (OSV formātā) un saites uz atbilstošiem ielāpiem, apstrādes kods tiek piesaistīts konkrētām krātuvēm, piemēram, googlesource.com un git.codelinaro.org, ar iespēju pievienot atbalstu citiem pakalpojumiem, izmantojot vilkšanas apdarinātājus.
Kā Vanir darbojas?
Vanira detektors analizē repozitorija pirmkodu un pārbauda, vai nav labojumu ievainojamību ir klāt. Šī funkcija tiek veikta izmantojot uzlabotus algoritmus Izmantojot parakstu precizēšanu un vairāku modeļu analīzi, Vanir sagatavo detalizētu ziņojumu, kurā tiek izceltas neaizlāpītās ievainojamības, nodrošinot saites uz koda pozīcijām un atsauces uz CVE identifikatoriem un lietotajiem ielāpiem.
Kā piemēru, lai saprastu Vanir kapacitāti veiktspējas ziņā, šis varat skenēt Android avota kodu, Ar datubāzi, kas aptver vairāk nekā 2000 ievainojamības, 10 līdz 20 minūtēs modernā datorā. Viltus pozitīvo rezultātu rādītājs, pamatojoties uz divu gadu Google lietošanu, joprojām ir zems, aptuveni 2.72%.
beidzot, ja esi interesē uzzināt vairāk par to, sīkāku informāciju varat pārbaudīt šī saite.