Google, yazılım güvenlik yamalarının etkili bir şekilde entegre edilmesini sağlama sürecini kolaylaştırmak ve otomatikleştirmek için tasarlanmış açık kaynaklı bir güvenlik yaması doğrulama aracı olan Vanir’i resmi olarak başlattı.
Duyuru, Vanir’in bu yılın başlarında Nisan ayında düzenlenen Android Eğitim Kampı sırasındaki ilk önizlemesinin ardından yapıldı.
Bu güçlü araç, Android platformu geliştiricileri ve Orijinal Ekipman Üreticileri (OEM’ler) için yamanın daha hızlı ve daha verimli benimsenmesini sağlayarak Android ekosisteminin güvenliğini artırmayı amaçlıyor.
Güvenlik Düzeltme Eki Doğrulamasında Yeni Bir Dönem
Vanir, çeşitli cihazların ve bunların karmaşık güncelleme geçmişlerinin yönetilmesiyle ilgili zorlukların üstesinden gelmeyi amaçlayan kapsamlı araştırma ve geliştirme çabalarının sonucudur.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Geleneksel olarak, güvenlik açığı düzeltmelerini belirleme ve uygulama süreci yoğun emek gerektirir ve gecikmelere açıktır. Vanir, kaynak kodu tabanlı bir statik analiz yaklaşımı kullanarak yama doğrulamayı otomatikleştirerek bunu değiştiriyor.
Bu benzersiz metodoloji, meta veriler veya depo geçmişi kontrolleri gibi hataya açık geleneksel doğrulama yöntemlerini atlayarak kaynak kodunu bilinen savunmasız modellerle karşılaştırır.
Google’ın dahili testlerinde Vanir, 500 saatten fazla manuel yama doğrulama çalışmasından tasarruf ederken %97’lik bir doğruluk oranına ulaşarak olağanüstü sonuçlar gösterdi.
Araç, özellikle OEM’lerin karşılaştığı ölçeklenebilirlik zorluklarını gidermeye odaklanıyor ve onların cihazları kritik güvenlik tehditlerine karşı daha hızlı bir şekilde korumalarına olanak tanıyor.
Android’in Ötesinde Çok Yönlülük
Google raporuna göre Vanir başlangıçta Android için oluşturulmuş olsa da açık kaynak yapısı ve uyarlanabilirliği, minimum değişiklikle diğer ekosistemlere genişletilebileceği anlamına geliyor.
Şu anda C/C++ ve Java’yı destekliyor ve kamu güvenlik yamalarıyla Android Çekirdeğinin ve kullanıcı alanı CVE’lerinin %95’ini kapsıyor.
Araç, gelişmiş otomatik imza iyileştirme tekniklerini ve akademik araştırmalardan ilham alan çoklu model analiz algoritmalarını kullanır.
Bunlar, Vanir’in geniş kod değişiklikleri veya modifikasyonları olsa bile eksik yamaları verimli bir şekilde tanımlamasını sağlar.
Vanir yalnızca bağımsız bir uygulama olarak değil, aynı zamanda sürekli derleme veya test işlem hatlarına kolay entegrasyon için bir Python kitaplığı olarak da mevcuttur.
Google, Vanir’i zaten test hattına entegre ederek geniş Android kod tabanında sürekli doğrulamayı mümkün kıldı.
Araç, BSD-3 lisansı altında açık kaynak olup, daha geniş geliştirici ve güvenlik topluluğunun katkılarını davet etmektedir.
Vanir’in Android güvenlik açıklarına yönelik imzaları, Açık Kaynak Güvenlik Açıkları (OSV) veritabanı aracılığıyla yayınlanarak kullanıcılar için sorunsuz güncellemelere olanak tanıyor.
OSV’de kapsanan 2.000’den fazla güvenlik açığı ve tüm Android kaynak ağaçlarını yalnızca 10-20 dakika içinde tarama yeteneği ile Vanir, güvenlik yaması yönetiminde bir mihenk taşı olmaya hazırlanıyor.
Google, Vanir’i açık kaynak olarak kullanarak dünya çapındaki geliştiricilere, Vanir’in gelişimine katkıda bulunmaları ve yeteneklerini genişletmeleri için güç sağlamayı amaçlıyor.
Aracın esnekliği aynı zamanda lisanslı kod tespiti veya daha geniş kod klonu tespiti gibi ek uygulamaların kapılarını da açar.
Google, Vanir’i iyileştirmeye ve geliştirmeye devam ederken, yalnızca Android’in değil aynı zamanda daha geniş yazılım ekosisteminin daha da güvenli hale getirilmesi için topluluktan katkıları davet ediyor.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses