Google huet en neit Open-Source-Projet, Vanir, virgestallt, deen e stateschen Analysator entwéckelt fir automatesch net ugewannt Patches op Code z'identifizéieren, déi Schwachstelle behiewen. Vanir benotzt eng Signature-Datebank vu bekannte Schwachstelle a Patches fir se ze behiewen. Google bedreift eng Àhnlech Datebank zënter Juli 2020 a deckt 95% vun de Schwachstelle a plattformbezunnen Projeten of. Android, dorënner de KÀr LinuxAktuell gëtt d'Quellcode-Iwwerpréiwung fir C, C++ a Java ënnerstëtzt. Vanir ass a C++ a Python geschriwwen a gëtt ënner der BSD-Lizenz verdeelt.
De Projet besteet aus zwee Deeler - en ĂnnerschrĂ«ft Generator an e verpasst Patch Detektor. De Generator generĂ©iert eng ĂnnerschrĂ«ft fir d'Feele vun enger Fix ze identifizĂ©ieren basĂ©iert op enger Beschreiwung vun der Schwachstelle am OSV-Format an e Link op de Patch oder Engagement, deen d'Schwachheet eliminĂ©iert. A senger aktueller Form Ă«nnerstĂ«tzt et d'Veraarbechtung vu Verpflichtungen an de googlesource.com a git.codelinaro.org Repositories, awer ĂnnerstĂ«tzung fir aner Servicer kann einfach bĂ€igefĂŒĂŒgt ginn andeems Dir e Code Pull Handler verbĂ«nnt.
Den Detektor analyséiert de Code am spezifizéierte Repository a bestëmmt ob en déi Fixer enthÀlt, déi an de geliwwerte Signaturen beschriwwe sinn. D'Implementatioun baséiert op Algorithmen fir automatesch Signaturverfeinerung a Multiple-Muster-Analyse, déi an de Fuerschungsprojeten ReDeBug a VUDDY proposéiert goufen. Op engem modernen PC mat enger 16-KÀr-CPU, Scannt de Quellbam vun der Plattform Android D'Benotzung vun enger OSV-Datebank mat Informatiounen iwwer iwwer 2000 Schwachstelle dauert 10-20 Minutten. De resultéierende Bericht lëscht potenziell net gepatcht Schwachstelle a Linken op hir associéiert Codeplazen, CVE-Identifikatoren a Patches op. Laut Statistiken, déi iwwer zwee Joer Vanir-Benotzung bei Google gesammelt goufen, ass d'Falsch-Positiv-Rate 2.72%.
Virdeeler vun de proposéierten Tools:
- D'FÀegkeet, net gepatcht Schwachstelle bei Forken, Modifikatiounen a Code-Léin vun Drëttubidder z'identifizéieren, déi net direkt mam Haaptprojet zesummenhÀnken. Am Kontext Android D'Tool kann benotzt ginn fir d'Applikatioun vu Fixes op verschiddene Plattformvarianten ze kontrolléieren. Android, entwéckelt vun OEM-GerÀterhersteller.
- Maacht e Scheck nëmmen op Basis vun der Analyse vum existente Code, ouni Referenz op Metadaten wéi Versiounsnummer, Engagementgeschicht a SBOM (Software Bill Of Materials).
- ĂnnerstĂ«tzung fir automatesch Generatioun vun ĂnnerschrĂ«ften mat Informatioun iwwer Schwachstelle erschĂ©ngen an Ă«ffentleche Quellen a Patches publizĂ©iert vun Ănnerhalter.
- Méi héich Verifizéierungsleistung baséiert op statesch Quellcodeanalyse am Verglach mat Tools fir dynamesch Analyse a Verifizéierung vu binÀre Versammlungen.
- SelbstversĂ©cherung ass d'FĂ€egkeet fir Infrastrukturen op Ăren eegene Systemer z'installĂ©ieren ouni extern Servicer ze benotzen.
- VerfĂŒgbarkeet vun enger fĂ€erdeger, aktueller ĂnnerschrĂ«ftendatebank, Ă«nnerstĂ«tzt vum Google Team Android SĂ©cherheetsteam.
- ĂnnerstĂ«tzung fir Verbindung mat kontinuĂ©ierlech Integratioun a Liwwerung (CI / CD) Systemer. MĂ©iglechkeet vun Integratioun an aner Projete benotzt Vanir a Form vu Python BibliothĂ©iken.
- D'Kapazitéit fir de System unzepassen fir Aufgaben déi net mat Schwachstelle verbonne sinn, zum Beispill fir Code Klonen oder Notzung vum lizenzéierte Code an anere Projeten z'entdecken.
Source: opennet.ru
