Noen dager siden Google avduket et nytt prosjekt åpen kildekode, som har navnet «Vaner» som er plassert som enStatisk kodeanalysator designet for å identifisere sårbarheter i programvareprosjekter, spesielt de som ennå ikke er korrigert gjennom patcher.
Hvordan Vanir fungerer er basert på en signaturdatabase som inneholder informasjon om kjente sårbarheter og tilhørende patcher, som gjør det mulig å sammenligne kildekoden med de anvendte rettelsene for å oppdage mulige sikkerhetsbrudd.
Ved å gjøre Vanir åpen kildekode, er målet vårt å la det bredere sikkerhetsfellesskapet bidra til og dra nytte av dette verktøyet, noe som muliggjør bredere bruk og til slutt forbedre sikkerheten på tvers av ulike økosystemer.
Blant de hovedfordelene med Vanir følgende skiller seg ut:
- Identifisere sårbarheter i gafler og tredjepartskode
Vanir gjør det enkelt å oppdage manglende patcher i gafler, modifikasjoner eller kodelån utenfor hovedprosjektet. I Android-økosystemet lar dette deg verifisere om produsentene av originale enheter har brukt de nødvendige oppdateringene på de tilpassede versjonene av plattformen. - Analyse uten metadataavhengigheter
I motsetning til andre verktøy, krever ikke Vanir tilleggsinformasjon som versjonsnummer, forpliktelseshistorikk eller SBOM-lister (Software Bill of Materials). Tilnærmingen deres er utelukkende basert på statisk analyse av eksisterende kildekode. - Automatisk signaturgenerering
Vanir automatiserer opprettelsen av signaturer fra offentlig sårbarhetsinformasjon (CVE) og patcher publisert av vedlikeholdere. Dette forenkler oppdatering og vedlikehold av signaturdatabasen. - Økt ytelse og effektivitet
Ved å stole på statisk analyse av kildekoden, tilbyr Vanir betydelig bedre ytelse sammenlignet med dynamisk analyse eller binære monteringsverifiseringsverktøy. - Selvforsyning og lokal gjennomføring
Verktøyet lar organisasjoner distribuere og kjøre infrastruktur på sine egne systemer, noe som eliminerer behovet for å henvende seg til eksterne tjenester eller stole på tredjeparter. - Oppdatert og pålitelig database
Vanir bruker en signaturdatabase støttet av Google Android-sikkerhetsteamet, som sikrer pålitelig og oppdatert dekning av kritiske sårbarheter. - Integrasjon med CI/CD
Støtte for integrering med kontinuerlig integrasjon og kontinuerlig levering (CI/CD)-systemer gjør det mulig å automatisere oppdagelsen av sårbarheter i utviklingssyklusen, noe som letter implementeringen av sikkerhetsprosesser i DevSecOps. - Tilpasningsevne og fleksibilitet
Utover sårbarhetsdeteksjon kan Vanir tilpasses for andre oppgaver, for eksempel identifisering av kodekloning, dupliseringsanalyse eller bruk av kode med spesifikke lisenser i andre prosjekter.
Mens Vanir opprinnelig ble designet for Android, kan den enkelt tilpasses andre økosystemer med relativt små modifikasjoner, noe som gjør det til et allsidig verktøy for å forbedre den generelle programvaresikkerheten.
Komposisjon av Vanir
Vaner består av to komponenter hoved:
- en signaturgenerator
- en tapt lappdetektor.
El generator lager signaturer basert på sårbarhetsbeskrivelser (i OSV-format) og lenker til tilsvarende oppdateringer, forplikter prosesseringskode til spesifikke repositorier som googlesource.com og git.codelinaro.org, med mulighet for å legge til støtte for andre tjenester ved å bruke pull-behandlere.
Hvordan fungerer Vanir?
Vanir-detektoren analyserer kildekoden til et depot og ser etter rettelser av sårbarheter er til stede. Denne funksjonen utføres ved hjelp av avanserte algoritmer Med signaturforbedring og multippel mønsteranalyse, produserer Vanir en detaljert rapport som fremhever uopprettede sårbarheter, og gir lenker til kodeposisjoner og referanser til CVE-identifikatorer og brukte patcher.
Som et eksempel for å forstå Vanir-kapasiteten når det gjelder ytelse, dette du kan skanne Android-kildekoden, Med en database som dekker mer enn 2000 sårbarheter, på 10 til 20 minutter på en moderne PC. Den falske positive frekvensen, basert på to års bruk i Google, er fortsatt lav, rundt 2.72 %.
endelig hvis du er det interessert i å vite mer om det, kan du sjekke detaljene i følgende lenke.