Vanir, Googles åpen kildekode-patchvalidator

Vanir: manglende lappskanner

Noen dager siden Google avduket et nytt prosjekt åpen kildekode, som har navnet «Vaner» som er plassert som enStatisk kodeanalysator designet for å identifisere sårbarheter i programvareprosjekter, spesielt de som ennå ikke er korrigert gjennom patcher.

Hvordan Vanir fungerer er basert på en signaturdatabase som inneholder informasjon om kjente sårbarheter og tilhørende patcher, som gjør det mulig å sammenligne kildekoden med de anvendte rettelsene for å oppdage mulige sikkerhetsbrudd.

Ved å gjøre Vanir åpen kildekode, er målet vårt å la det bredere sikkerhetsfellesskapet bidra til og dra nytte av dette verktøyet, noe som muliggjør bredere bruk og til slutt forbedre sikkerheten på tvers av ulike økosystemer.

Blant de hovedfordelene med Vanir følgende skiller seg ut:

  • Identifisere sårbarheter i gafler og tredjepartskode
    Vanir gjør det enkelt å oppdage manglende patcher i gafler, modifikasjoner eller kodelån utenfor hovedprosjektet. I Android-økosystemet lar dette deg verifisere om produsentene av originale enheter har brukt de nødvendige oppdateringene på de tilpassede versjonene av plattformen.
  • Analyse uten metadataavhengigheter
    I motsetning til andre verktøy, krever ikke Vanir tilleggsinformasjon som versjonsnummer, forpliktelseshistorikk eller SBOM-lister (Software Bill of Materials). Tilnærmingen deres er utelukkende basert på statisk analyse av eksisterende kildekode.
  • Automatisk signaturgenerering
    Vanir automatiserer opprettelsen av signaturer fra offentlig sårbarhetsinformasjon (CVE) og patcher publisert av vedlikeholdere. Dette forenkler oppdatering og vedlikehold av signaturdatabasen.
  • Økt ytelse og effektivitet
    Ved å stole på statisk analyse av kildekoden, tilbyr Vanir betydelig bedre ytelse sammenlignet med dynamisk analyse eller binære monteringsverifiseringsverktøy.
  • Selvforsyning og lokal gjennomføring
    Verktøyet lar organisasjoner distribuere og kjøre infrastruktur på sine egne systemer, noe som eliminerer behovet for å henvende seg til eksterne tjenester eller stole på tredjeparter.
  • Oppdatert og pålitelig database
    Vanir bruker en signaturdatabase støttet av Google Android-sikkerhetsteamet, som sikrer pålitelig og oppdatert dekning av kritiske sårbarheter.
  • Integrasjon med CI/CD
    Støtte for integrering med kontinuerlig integrasjon og kontinuerlig levering (CI/CD)-systemer gjør det mulig å automatisere oppdagelsen av sårbarheter i utviklingssyklusen, noe som letter implementeringen av sikkerhetsprosesser i DevSecOps.
  • Tilpasningsevne og fleksibilitet
    Utover sårbarhetsdeteksjon kan Vanir tilpasses for andre oppgaver, for eksempel identifisering av kodekloning, dupliseringsanalyse eller bruk av kode med spesifikke lisenser i andre prosjekter.

Mens Vanir opprinnelig ble designet for Android, kan den enkelt tilpasses andre økosystemer med relativt små modifikasjoner, noe som gjør det til et allsidig verktøy for å forbedre den generelle programvaresikkerheten. 

Komposisjon av Vanir

Vaner består av to komponenter hoved:

  • en signaturgenerator
  • en tapt lappdetektor.

El generator lager signaturer basert på sårbarhetsbeskrivelser (i OSV-format) og lenker til tilsvarende oppdateringer, forplikter prosesseringskode til spesifikke repositorier som googlesource.com og git.codelinaro.org, med mulighet for å legge til støtte for andre tjenester ved å bruke pull-behandlere.

Hvordan fungerer Vanir?

Vanir-detektoren analyserer kildekoden til et depot og ser etter rettelser av sårbarheter er til stede. Denne funksjonen utføres ved hjelp av avanserte algoritmer Med signaturforbedring og multippel mønsteranalyse, produserer Vanir en detaljert rapport som fremhever uopprettede sårbarheter, og gir lenker til kodeposisjoner og referanser til CVE-identifikatorer og brukte patcher.

Som et eksempel for å forstå Vanir-kapasiteten når det gjelder ytelse, dette du kan skanne Android-kildekoden, Med en database som dekker mer enn 2000 sårbarheter, på 10 til 20 minutter på en moderne PC. Den falske positive frekvensen, basert på to års bruk i Google, er fortsatt lav, rundt 2.72 %.

endelig hvis du er det interessert i å vite mer om det, kan du sjekke detaljene i følgende lenke.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.