Google waxay daaha ka rogtay mashruuc cusub oo il furan ah, Vanir, kaas oo sameeya falanqeeye taagan si uu si toos ah u aqoonsado balastarrada aan la adeegsan si loo xakameeyo nuglaanta. Vanir wuxuu adeegsadaa kayd xog oo saxiixan oo ku saabsan nuglaanta iyo balastarrada la yaqaan si wax looga qabto. Google waxay ilaalinaysay kayd xog oo la mid ah tan iyo Luulyo 2020 waxayna daboolaysaa 95% nuglaanta mashaariicda la xiriira madal. Android, oo ay ku jiraan xudunta LinuxHadda, dib u eegista koodhka isha waxaa lagu taageeraa C, C++, iyo Java. Vanir waxaa lagu qoraa C++ iyo Python waxaana lagu qaybiyaa shatiga BSD.
Mashruucu wuxuu ka kooban yahay labo qeybood - koronto-dhaliye saxiix ah iyo qalab bare oo maqan. Koronto-dhaliye wuxuu dhaliyaa saxeex lagu garto maqnaanshaha hagaajinta iyadoo lagu salaynayo sharraxaadda u nuglaanshaha qaabka OSV iyo isku xirka balastar ama ballan taasoo meesha ka saaraysa nuglaanta. Qaabkeeda hadda, waxay taageertaa ka-habaynta go'aannada googlesource.com iyo git.codelinaro.org kaydadka, laakiin taageerada adeegyada kale si fudud ayaa loogu dari karaa iyadoo la isku xidho maamulaha kood jiid.
Qalabka baadhaha ayaa kala saaraya koodhka ku jira kaydka la cayimay wuxuuna go'aaminayaa inuu ku jiro hagaajinta lagu sharraxay saxiixyada la bixiyay. Hirgelintu waxay ku salaysan tahay algorithms-ka sixitaanka saxeexa otomaatiga ah iyo falanqaynta qaababka badan ee lagu soo jeediyay mashaariicda cilmi-baarista ee ReDeBug iyo VSDDY. Kombiyuutar casri ah oo leh CPU 16-core ah, oo sawiraya geedka isha ee madal. Android Isticmaalka xogta OSV oo ka kooban macluumaad ku saabsan in ka badan 2000 oo nugul waxay qaadataa 10-20 daqiiqo. Warbixinta ka soo baxday waxay taxaysaa nuglaanta aan la hagaajin iyo isku xirka goobaha koodka ee la xiriira, aqoonsiga CVE, iyo balastarrada. Sida laga soo xigtay tirakoobyada la ururiyay laba sano oo Vanir lagu isticmaalay Google, heerka beenta ah ee togan waa 2.72%.
Faa'iidooyinka qalabka la soo jeediyay:
- Awoodda lagu aqoonsan karo nuglaanta aan la hagaajin ee ku jirta fargeetooyinka, wax ka beddelka, iyo amaahda koodhka ee aan si toos ah ula xiriirin mashruuca ugu weyn. Android Qalabka waxaa loo isticmaali karaa in lagu hubiyo codsiga hagaajinta noocyada kala duwan ee madal Android, oo ay sameeyeen soosaarayaasha aaladaha OEM.
- Samaynta jeeg kaliya oo ku salaysan falanqaynta koodka jira, iyada oo aan la tixraacin xogta badan sida lambarka nooca, samee taariikhda iyo SBOM (Software Bill of Materials).
- Taageerada saxeexyada tooska ah ee abuurista iyada oo la adeegsanayo macluumaadka ku saabsan dayacanka ka muuqda ilaha dadweynaha iyo balastar ay daabacaan ilaaliyeyaashu.
- Waxqabadka xaqiijinta sare ee ku salaysan falanqaynta koodhka isha taagan marka la barbar dhigo agabka falanqaynta firfircoon iyo xaqiijinta shirarka binary.
- Isku-filnaantu waa awoodda aad ku geyn karto kaabayaasha nidaamkaaga adiga oo aan u adeegsan adeegyada dibadda.
- Helitaanka xog kayd ah oo saxiixa oo diyaarsan oo casri ah, oo ay taageerto kooxda Google Android Kooxda Amniga.
- Taageerada isku xidhka nidaamyada is dhexgalka iyo gaarsiinta joogtada ah (CI/CD). Suurtagalnimada ka mid noqoshada mashaariicda kale iyadoo la adeegsanayo Vanir qaab maktabadaha Python.
- Awood u lahaanshaha nidaamka hawlaha aan la xiriirin dayacanka, tusaale ahaan, si loo ogaado cloning code ama isticmaalka kood shatiga mashaariicda kale.
Source: opennet.ru
