Google випустила Vanir — новий інструмент для перевірки патчів

Компанія Google оголосила про доступність Vanir — нового інструменту з відкритим кодом для перевірки патчів безпеки. Vanir надає Android-розробникам можливість швидко й ефективно сканувати код своїх додатків для перевірки відсутніх патчів безпеки. 

Завдяки Vanir, який на даний момент підтримує роботу в коді C/C++ та Java, можна значно прискорити перевірку виправлень, автоматизуючи цей процес. Також це дозволяє виробникам обладнання гарантувати, що їхні пристрої захищені критичними оновленнями безпеки. Це посилює безпеку екосистеми Android, допомагаючи захищати користувачів Android у всьому світі. 

Хоча Vanir спочатку був розроблений для Android, його можна легко адаптувати до інших екосистем за допомогою відносно невеликих змін, що робить його універсальним інструментом для підвищення безпеки програмного забезпечення в усіх сферах.

Наразі Vanir покриває 95% усіх вразливостей на пристроях Android, Wear і Pixel. Його точність становить 97%.

Основною метою Vanir є автоматизація трудомісткого процесу виявлення відсутніх патчів безпеки в екосистемі програмного забезпечення з відкритим кодом. Під час розробки Vanir стало зрозуміло, що ручне визначення великої кількості відсутніх патчів не тільки трудомістка робота, але й може призвести до того, що пристрої користувача будуть ненавмисно піддані відомим уразливостям протягом певного періоду часу. Щоб вирішити цю проблему, Vanir використовує новітні методи автоматичного уточнення підпису та алгоритми аналізу кількох шаблонів, натхненні алгоритмами виявлення клонів уразливого коду.

Vanir розроблено не лише як окрему програму, а й як бібліотеку Python. Користувачі, які хочуть інтегрувати автоматизовані процеси перевірки патчів у свою безперервну збірку або ланцюжок тестування, можуть легко досягти цього, підключивши свій інструмент інтеграції збірки до бібліотек сканера Vanir.