ጎግል ቫኒር የተባለ አዲስ ክፍት ምንጭ ፕሮጀክት ይፋ አድርጓል፤ ይህም ያልተተገበሩ ፓቾችን በራስ-ሰር ለመለየት የሚያስችል የማይንቀሳቀስ ተንታኝ ያዘጋጃል። ቫኒር ተጋላጭነቶችን ለመፍታት የታወቁ ተጋላጭነቶችን እና ፓቾችን የፊርማ ዳታቤዝ ይጠቀማል። ጉግል ከጁላይ 2020 ጀምሮ ተመሳሳይ የውሂብ ጎታ ይዞ ቆይቷል እና ከመድረክ ጋር በተያያዙ ፕሮጀክቶች ውስጥ 95% የሚሆኑትን ተጋላጭነቶች ይሸፍናል። Androidዋናውን ጨምሮ Linuxበአሁኑ ጊዜ የምንጭ ኮድ ግምገማ ለC፣ C++ እና Java የተደገፈ ነው። ቫኒር በC++ እና Python የተጻፈ ሲሆን በBSD ፈቃድ ስር ይሰራጫል።
ፕሮጀክቱ ሁለት ክፍሎችን ያቀፈ ነው-የፊርማ ጀነሬተር እና ያመለጠ ፓቼ ማወቂያ። ጄኔሬተሩ በOSV ቅርጸት ያለውን የተጋላጭነት መግለጫ እና ተጋላጭነቱን የሚያስወግድ ከፕላስተር ወይም ከቁርጠኝነት ጋር ባለው ግንኙነት ላይ በመመስረት ማስተካከያ አለመኖሩን ለመለየት ፊርማ ያመነጫል። አሁን ባለው መልኩ በgooglesource.com እና git.codelinaro.org ማከማቻዎች ውስጥ ፕሮሰሲንግን ይደግፋል፣ ነገር ግን ለሌሎች አገልግሎቶች ድጋፍ የኮድ ፑል ተቆጣጣሪን በማገናኘት በቀላሉ መጨመር ይቻላል።
መርማሪው በተጠቀሰው ማከማቻ ውስጥ ያለውን ኮድ ይተነትናል እና በቀረቡት ፊርማዎች ውስጥ የተገለጹትን ጥገናዎች የያዘ መሆኑን ይወስናል። አተገባበሩ የተመሠረተው በራስ-ሰር የፊርማ ማሻሻያ እና በReDeBug እና VUDDY የምርምር ፕሮጀክቶች ውስጥ በቀረቡ በርካታ የንድፍ ትንተና ስልተ ቀመሮች ላይ ነው። በዘመናዊ ፒሲ ላይ፣ የመድረኩን ምንጭ ዛፍ በመቃኘት ላይ Android ከ2000 በላይ ተጋላጭነቶችን በተመለከተ መረጃ የያዘ የOSV ዳታቤዝ መጠቀም ከ10-20 ደቂቃዎችን ይወስዳል። የተገኘው ሪፖርት ያልተስተካከሉ ተጋላጭነቶችን እና ከተያያዙ የኮድ ቦታዎች ጋር የሚገናኙ አገናኞችን፣ የCVE መለያዎችን እና ጥገናዎችን ይዘረዝራል። በጉግል ለሁለት ዓመታት ቫኒርን ከተጠቀሙበት ጊዜ ጀምሮ በተሰበሰበው ስታቲስቲክስ መሠረት፣ የውሸት አዎንታዊ መጠን 2.72% ነው።
የታቀዱ መሳሪያዎች ጥቅሞች:
- ከዋናው ፕሮጀክት ጋር በቀጥታ ያልተያያዙ የሶስተኛ ወገን ሹካዎች፣ ማሻሻያዎች እና የኮድ ብድሮች ውስጥ ያልተስተካከሉ ተጋላጭነቶችን የመለየት ችሎታ። Android መሣሪያው በመድረክ ልዩነቶች ላይ የጥገናዎችን አተገባበር ለመፈተሽ ጥቅም ላይ ሊውል ይችላል Android, በ OEM መሳሪያ አምራቾች የተገነባ።
- እንደ የስሪት ቁጥር ያለ ሜታዳታ ሳይጣቀስ በነባሩ ኮድ ትንተና ላይ በመመስረት ቼክ ማካሄድ ታሪክ እና SBOM (የሶፍትዌር ቢል ኦፍ ማቴሪያሎች)።
- በሕዝብ ምንጮች ውስጥ ስለሚታዩ ድክመቶች መረጃን በመጠቀም ፊርማዎችን በራስ ሰር የማፍለቅ ድጋፍ እና በአስተዳዳሪዎች የታተሙ ጥገናዎች።
- ለተለዋዋጭ ትንተና እና የሁለትዮሽ ስብሰባዎች ማረጋገጫ መሳሪያዎች ጋር ሲነፃፀር በስታቲስቲክ ምንጭ ኮድ ትንተና ላይ የተመሰረተ ከፍተኛ የማረጋገጫ አፈጻጸም።
- እራስን መቻል የውጭ አገልግሎቶችን ሳይጠቀሙ በራስዎ ስርዓቶች ላይ መሠረተ ልማትን የማሰማራት ችሎታ ነው።
- በGoogle ቡድን የተደገፈ ዝግጁ የሆነ፣ ወቅታዊ የፊርማ ዳታቤዝ መኖር Android የደህንነት ቡድን።
- ከተከታታይ ውህደት እና አቅርቦት (CI/CD) ስርዓቶች ጋር ለመገናኘት ድጋፍ። ቫኒርን በመጠቀም ወደ ሌሎች ፕሮጄክቶች የመዋሃድ እድል በ Python ቤተ-መጽሐፍት መልክ።
- ስርዓቱን ከተጋላጭነት ጋር ያልተያያዙ ስራዎችን የማጣጣም ችሎታ, ለምሳሌ, ኮድ ክሎኒንግ ለመለየት ወይም በሌሎች ፕሮጀክቶች ውስጥ ፍቃድ ያለው ኮድ መጠቀም.
ምንጭ: opennet.ru
