Google żvelat proġett ġdid open-source, Vanir, li jiżviluppa analizzatur statiku għall-identifikazzjoni awtomatika ta' irqajja mhux applikati għall-kodiċi li jindirizzaw il-vulnerabbiltajiet. Vanir juża database ta' firem ta' vulnerabbiltajiet magħrufa u irqajja biex jindirizzahom. Google żammet database simili minn Lulju 2020 u tkopri 95% tal-vulnerabbiltajiet fi proġetti relatati mal-pjattaforma. Android, inkluż il-qalba LinuxBħalissa, ir-reviżjoni tal-kodiċi tas-sors hija appoġġjata għal C, C++, u Java. Vanir huwa miktub f'C++ u Python u huwa mqassam taħt il-liċenzja BSD.
Il-proġett jikkonsisti f'żewġ partijiet - ġeneratur tal-firma u detector tal-garża mitlufa. Il-ġeneratur jiġġenera firma biex jidentifika n-nuqqas ta 'tiswija bbażata fuq deskrizzjoni tal-vulnerabbiltà fil-format OSV u link għall-garża jew impenn li jelimina l-vulnerabbiltà. Fil-forma attwali tagħha, tappoġġja l-ipproċessar ta' kommessi fir-repożitorji ta' googlesource.com u git.codelinaro.org, iżda l-appoġġ għal servizzi oħra jista' faċilment jiżdied billi tikkonnettja code pull handler.
Id-ditekter janalizza l-kodiċi fir-repożitorju speċifikat u jiddetermina jekk fihx il-korrezzjonijiet deskritti fil-firem ipprovduti. L-implimentazzjoni hija bbażata fuq algoritmi għar-raffinar awtomatiku tal-firem u l-analiżi ta' mudelli multipli proposti fil-proġetti ta' riċerka ReDeBug u VUDDY. Fuq PC modern b'CPU ta' 16-il qalba, skennjar tas-siġra tas-sors tal-pjattaforma Android L-użu ta' database OSV li fiha informazzjoni dwar aktar minn 2000 vulnerabbiltà jieħu bejn 10 u 20 minuta. Ir-rapport li jirriżulta jelenka vulnerabbiltajiet potenzjalment mhux imsewwija u jillinkja mal-postijiet tal-kodiċi assoċjati tagħhom, l-identifikaturi tas-CVE, u l-irqajja'. Skont l-istatistika miġbura fuq sentejn ta' użu ta' Vanir f'Google, ir-rata ta' pożittivi foloz hija ta' 2.72%.
Vantaġġi tal-għodod proposti:
- Il-ħila li jiġu identifikati vulnerabbiltajiet mhux imsewwija f'forks ta' partijiet terzi, modifiki, u self ta' kodiċi mhux direttament relatati mal-proġett ewlieni. Fil-kuntest Android L-għodda tista' tintuża biex tiċċekkja l-applikazzjoni ta' soluzzjonijiet fil-varjanti tal-pjattaforma kollha Android, żviluppat minn manifatturi ta' apparati OEM.
- Twettiq ta' verifika bbażata biss fuq analiżi tal-kodiċi eżistenti, mingħajr referenza għal metadejta bħan-numru tal-verżjoni, l-istorja tal-kommit u SBOM (Software Bill Of Materials).
- Appoġġ għall-ġenerazzjoni awtomatika ta 'firem bl-użu ta' informazzjoni dwar vulnerabbiltajiet li jidhru f'sorsi pubbliċi u garżi ppubblikati minn manutenzjoni.
- Prestazzjoni ogħla ta 'verifika bbażata fuq analiżi statika tal-kodiċi tas-sors meta mqabbla ma' għodod għal analiżi dinamika u verifika ta 'assemblaġġi binarji.
- L-awtosuffiċjenza hija l-abbiltà li tuża infrastruttura fuq is-sistemi tiegħek stess mingħajr ma tirrikorri għal servizzi esterni.
- Disponibbiltà ta' database ta' firem lesta u aġġornata, appoġġjata mit-tim ta' Google Android Tim tas-Sigurtà.
- Appoġġ għall-konnessjoni ma' sistemi ta' integrazzjoni u twassil kontinwu (CI/CD). Possibbiltà ta 'integrazzjoni fi proġetti oħra bl-użu ta' Vanir fil-forma ta 'libreriji Python.
- Il-ħila li tadatta s-sistema għal kompiti mhux relatati mal-vulnerabbiltajiet, pereżempju, biex tiskopri l-klonazzjoni tal-kodiċi jew l-użu ta 'kodiċi liċenzjat fi proġetti oħra.
Sors: opennet.ru
