Inilabas ng Google ang isang bagong open-source na proyekto, ang Vanir, na bumubuo ng isang static analyzer para awtomatikong matukoy ang mga hindi nailapat na patch sa code na tumutugon sa mga kahinaan. Gumagamit ang Vanir ng isang signature database ng mga kilalang kahinaan at patch upang matugunan ang mga ito. Nagpapanatili ang Google ng katulad na database mula noong Hulyo 2020 at sumasaklaw sa 95% ng mga kahinaan sa mga proyektong may kaugnayan sa platform. Android, kasama ang core LinuxSa kasalukuyan, sinusuportahan ang pagsusuri ng source code para sa C, C++, at Java. Ang Vanir ay nakasulat sa C++ at Python at ipinamamahagi sa ilalim ng lisensya ng BSD.
Ang proyekto ay binubuo ng dalawang bahagi - isang signature generator at isang napalampas na patch detector. Ang generator ay bumubuo ng isang lagda upang matukoy ang kawalan ng isang pag-aayos batay sa isang paglalarawan ng kahinaan sa OSV na format at isang link sa patch o commit na nag-aalis ng kahinaan. Sa kasalukuyan nitong anyo, sinusuportahan nito ang mga processing commit sa mga repositoryo ng googlesource.com at git.codelinaro.org, ngunit madaling maidagdag ang suporta para sa iba pang mga serbisyo sa pamamagitan ng pagkonekta sa isang tagahawak ng code pull.
Pina-parse ng detector ang code sa tinukoy na repository at tinutukoy kung naglalaman ito ng mga pag-aayos na inilarawan sa ibinigay na mga lagda. Ang implementasyon ay batay sa mga algorithm para sa awtomatikong pagpipino ng lagda at pagsusuri ng maraming pattern na iminungkahi sa mga proyektong pananaliksik ng ReDeBug at VUDDY. Sa isang modernong PC na may 16-core na CPU, ini-scan ang source tree ng platform. Android Ang paggamit ng OSV database na naglalaman ng impormasyon sa mahigit 2000 kahinaan ay tumatagal ng 10-20 minuto. Ang resultang ulat ay naglilista ng mga potensyal na hindi pa na-patch na kahinaan at mga link sa mga kaugnay na lokasyon ng code, mga CVE identifier, at mga patch. Ayon sa mga istatistikang nakolekta sa loob ng dalawang taon ng paggamit ng Vanir sa Google, ang false positive rate ay 2.72%.
Mga kalamangan ng mga iminungkahing tool:
- Ang kakayahang matukoy ang mga hindi pa naayos na kahinaan sa mga third-party forks, modifications, at code borrowings na hindi direktang nauugnay sa pangunahing proyekto. Sa konteksto Android Maaaring gamitin ang tool upang suriin ang aplikasyon ng mga pag-aayos sa iba't ibang variant ng platform. Android, na binuo ng mga tagagawa ng OEM device.
- Pagsasagawa ng pagsusuri batay lamang sa pagsusuri ng umiiral na code, nang walang pagtukoy sa metadata gaya ng numero ng bersyon, commit history at SBOM (Software Bill Of Materials).
- Suporta para sa awtomatikong pagbuo ng mga lagda gamit ang impormasyon tungkol sa mga kahinaan na lumalabas sa mga pampublikong mapagkukunan at mga patch na inilathala ng mga maintainer.
- Mas mataas na pagganap ng pag-verify batay sa static na source code analysis kumpara sa mga tool para sa dynamic na pagsusuri at pag-verify ng mga binary assemblies.
- Ang self-sufficiency ay ang kakayahang mag-deploy ng imprastraktura sa iyong sariling mga system nang hindi gumagamit ng mga panlabas na serbisyo.
- Pagkakaroon ng handa na at napapanahong database ng lagda, na sinusuportahan ng pangkat ng Google Android Pangkat ng Seguridad.
- Suporta para sa pagkonekta sa tuluy-tuloy na pagsasama at paghahatid (CI/CD) system. Posibilidad ng pagsasama sa iba pang mga proyekto gamit ang Vanir sa anyo ng mga aklatan ng Python.
- Ang kakayahang iakma ang system para sa mga gawaing hindi nauugnay sa mga kahinaan, halimbawa, upang matukoy ang pag-clone ng code o paggamit ng lisensyadong code sa ibang mga proyekto.
Pinagmulan: opennet.ru
