Google prezentis novan malfermfontan projekton, Vanir, kiu disvolvas statikan analizilon por aŭtomate identigi neaplikitajn pecetojn al kodo, kiuj traktas vundeblecojn. Vanir uzas signaturdatumbazon de konataj vundeblecoj kaj pecetoj por trakti ilin. Google konservas similan datumbazon ekde julio 2020 kaj kovras 95% de vundeblecoj en platform-rilataj projektoj. Android, inkluzive de la kerno LinuxNuntempe, revizio de fontkodo estas subtenata por C, C++, kaj Java. Vanir estas skribita en C++ kaj Python kaj estas distribuita sub la BSD-licenco.
La projekto konsistas el du partoj — signaturgeneratoro kaj detektilo de mankantaj flikaĵoj. La generatoro kreas signaturon por identigi la foreston de riparo bazitan sur priskribo de vundebleco en OSV-formato kaj ligilo al flikaĵo aŭ kodo, kiu forigas la vundeblecon. En sia nuna formo, ĝi subtenas la prilaboradon de kodoj en la deponejoj googlesource.com kaj git.codelinaro.org, sed subteno por aliaj servoj povas facile esti aldonita per konektado de traktilo por kodekstraktado.
La detektilo analizas la kodon en la specifita deponejo kaj determinas ĉu ĝi enhavas la korektojn priskribitajn en la provizitaj subskriboj. La efektivigo baziĝas sur algoritmoj por aŭtomata rafinado de subskriboj kaj analizo de pluraj ŝablonoj proponitaj en la esplorprojektoj ReDeBug kaj VUDDY. Sur moderna komputilo kun 16-kerna CPU, skanante la fontarbon de la platformo. Android Uzi OSV-datumbazon enhavantan informojn pri pli ol 2 000 vundeblecoj daŭras 10-20 minutojn. La rezulta raporto listigas eble neflikitajn vundeblecojn kaj ligas al iliaj asociitaj kodlokoj, CVE-identigiloj kaj flikaĵoj. Laŭ statistikoj kolektitaj dum du jaroj da Vanir-uzado ĉe Google, la ofteco de falsaj pozitivoj estas 2.72%.
Avantaĝoj de la proponita ilaro:
- La kapablo identigi neriparitajn vundeblecojn en triapartaj forkoj, modifoj kaj kodpruntoj ne rekte rilataj al la ĉefa projekto. En kunteksto Android La ilo povas esti uzata por kontroli la aplikon de korektoj trans platformaj variaĵoj Android, evoluigita de OEM-aparatproduktantoj.
- Elfarante kontrolon bazitan nur sur la analizo de la ekzistanta kodo, sen referenco al metadatenoj kiel versinumero, historio de enkondukoj kaj SBOM (Programara Materiallisto).
- Subteno por aŭtomata generado de subskriboj uzante informojn pri vundeblecoj publikigitajn publike kaj flikaĵojn publikigitajn de prizorgistoj.
- Pli alta efikeco de konfirmo bazita sur statika analizo de fontkodo kompare kun iloj por dinamika analizo kaj konfirmo de binaraj asembleoj.
- Aŭtarkio estas la kapablo deploji infrastrukturon sur viaj propraj sistemoj sen recurrir al eksteraj servoj.
- Havebleco de preta, ĝisdata subskribo-datumbazo, subtenata de la Google-teamo Android Sekureca Teamo.
- Subteno por konekto al kontinuaj integriĝaj kaj liversistemoj (CI/CD). Ebleco de integriĝo en aliajn projektojn uzante Vanir en la formo de bibliotekoj en la lingvo Python.
- La kapablo adapti la sistemon por taskoj ne rilataj al vundeblecoj, kiel ekzemple detekti kodklonadon aŭ la uzon de licencita kodo en aliaj projektoj.
fonto: opennet.ru
