Google, yama yönetiminin verimliliğini ve doğruluğunu artırmak için tasarlanmış çığır açan bir açık kaynaklı güvenlik yaması doğrulama aracı olan Vanir’i resmi olarak başlattı.
Nisan ayındaki Android Eğitim Kampı sırasında duyurulan Vanir artık genel kullanıma açık olup, geliştiricilere güvenlik yamalarının tanımlanmasını ve uygulanmasını kolaylaştıracak güçlü bir kaynak sunuyor.
Yönetici Özeti
- Vanir, Android kodundaki eksik güvenlik yamalarını bulma sürecini otomatikleştirerek bunu geleneksel yöntemlere göre çok daha hızlı ve daha doğru hale getiriyor.
- Araç, mevcut kodu bilinen savunmasız modellerle karşılaştırmak için akıllı kod tarama tekniklerini kullanıyor ve %97’lik etkileyici bir doğruluk oranına sahip.
- Android için tasarlanmış olmasına rağmen Vanir, diğer sistemlere de uyarlanabilecek kadar çok yönlüdür ve siber güvenlik üzerindeki potansiyel etkisini genişletir.
- Google’ın Vanir’i şirket içinde kullanması, ekiplerine Android, Wear ve Pixel güvenlik açıklarının %95’ini kapsayacak şekilde yama düzeltme süresinde halihazırda 500 saatten fazla tasarruf sağladı.
- Google, Vanir’i açık kaynak haline getirerek aracın yeteneklerini daha da geliştirmek ve genişletmek için küresel işbirliğine davet ediyor.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Android ekosistemi, güvenlik açıklarını azaltmak için karmaşık, çok aşamalı bir sürece dayanır. Android Açık Kaynak Projesi’ndeki (AOSP) yukarı akış geliştiricileri, alt üreticilerin kendi cihazlarına uyarlaması gereken yamaları yayınlar.
Bu süreç emek yoğundur ve özellikle çeşitli cihaz portföylerini ve karmaşık güncelleme geçmişlerine sahip eski modelleri yöneten üreticiler için ölçeklendirilmesi zor olabilir.
Vanir, kaynak kodu tabanlı statik analiz yoluyla yama doğrulamayı otomatikleştirerek bu zorlukların üstesinden geliyor.
Sürüm numaraları veya depo geçmişi gibi meta verilere dayanan geleneksel yöntemlerin aksine Vanir, eksik güvenlik yamalarını belirlemek için doğrudan kaynak kodunu analiz eder.
Bu yenilikçi yaklaşım, daha yüksek doğruluk ve daha hızlı sonuçlar sağlayarak geliştiricilerin cihazları daha etkili bir şekilde korumasını sağlar.
Vanir’in Temel Özellikleri
Otomasyon ve Doğruluk: Vanir, zaman alan eksik yamaları belirleme görevini otomatikleştirerek manuel çabayı önemli ölçüde azaltır. Savunmasız kod klonu tespit tekniklerinden ilham alan gelişmiş algoritmalar kullanarak yalnızca %2,72 gibi düşük bir yanlış alarm oranına ulaşır.
Geniş Kapsam: Şu anda C/C++ ve Java’yı destekleyen Vanir, genel düzeltmelerle Android çekirdeği ve kullanıcı alanındaki güvenlik açıklarının %95’ini kapsıyor. İmzaları Açık Kaynak Güvenlik Açıkları (OSV) veritabanı aracılığıyla yayınlanarak en son güvenlik güncellemeleriyle kusursuz entegrasyon sağlanır.
Ekosistemler Arasında Ölçeklenebilirlik: Başlangıçta Android için tasarlanmış olsa da Vanir, minimum değişiklikle diğer ekosistemlere de uyarlanabilir. İmza oluşturucusu, kullanıcıların çeşitli platformlardaki yeni güvenlik açıkları için özel imzalar oluşturmasına olanak tanır.
Esnek Entegrasyon: Hem bağımsız bir uygulama hem de Python kitaplığı olarak sunulan Vanir, sürekli derleme veya test işlem hatlarına entegre edilebilir. Google, kapsamlı yamanın benimsenmesini sağlamak için test sistemlerinde Vanir’i kullanıyor.
Google’ın Vanir’i dahili olarak kullanması, etkinliğini kanıtlamıştır. Tek bir mühendis, yalnızca beş gün içinde 150’den fazla güvenlik açığı için imza oluşturmayı ve alt dallardaki eksik yamaları doğrulamayı başardı.
Araç, %97’lik doğruluk oranını korurken Google ekiplerine yama yönetimi çalışmalarında 500 saatten fazla tasarruf sağladı.
Google, Vanir’i BSD-3 lisansı altında açık kaynak olarak kullanarak, küresel güvenlik topluluğunun gelişimine katkıda bulunmasını ve uygulamalarını Android’in ötesine genişletmesini sağlamayı amaçlıyor.
Potansiyel kullanım örnekleri arasında lisanslı kod algılama ve kod klon analizi yer alır.
Vanir, otomatik yama yönetiminde önemli bir ilerlemeyi temsil ediyor ve çeşitli ekosistemlerde gelişmiş güvenlik vaat ediyor.
Vanir’i keşfetmek veya Vanir’e katkıda bulunmak isteyen geliştiriciler onu GitHub’da bulabilir ve Vanir’in gelecekteki yeteneklerini şekillendirmek için büyüyen topluluğa katılabilir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses