Google’ın açık kaynak aracı Vanir, Android geliştiricilerinin özel platform kodunu eksik veya geçerli güvenlik yamalarına karşı hızlı bir şekilde taramasına olanak tanır. Vanir, yama doğrulamayı otomatikleştirerek OEM’lerin kritik güvenlik güncellemelerini daha hızlı sunmasına yardımcı olarak Android ekosisteminin güvenliğini artırıyor.
Vanir, savunmasız kod modellerini doğrudan belirlemek için kaynak kodu tabanlı statik analiz kullanıyor. Hatalara açık geleneksel meta veri tabanlı yöntemlerin aksine Vanir, kod tabanlarının tamamını, tek tek dosyaları veya kısmi parçacıkları tam doğrulukla analiz edebilir.
Vanir, açık kaynak yazılımdaki eksik güvenlik yamalarını belirlemeye yönelik maliyetli ve zaman alıcı süreci otomatik hale getiriyor. Manuel yöntemler, cihazları güvenlik açıklarına maruz bırakma riskiyle karşı karşıya kalıyor ve Vanir’in otomatik imza iyileştirme teknikleri ve çok modelli analiz algoritmaları geliştirmesine yol açıyor. Bu algoritmalar yanlış alarm oranlarını düşük tutar (iki yılda %2,72) ve çeşitli kod değişikliklerini yöneterek eksik yamaları tespit ederken manuel incelemeyi azaltır.
Vanir’in kaynak kodu tabanlı yaklaşımı, desteklenen tüm diller için imzalar oluşturup geliştirerek ekosistemler arasında ölçeklenir. Kullanıcılar, yalnızca yamalı kaynak dosyalar sağlayarak yeni güvenlik açıklarına yönelik imzalar oluşturabilir.
Android’in Vanir’i benimsemesi bunun etkisini gösteriyor: Tek bir mühendis, beş gün içinde 150 güvenlik açığı için imza oluşturdu ve alt dallarda eksik yamaları doğrulayarak geleneksel yöntemlerden çok daha iyi performans gösterdi.
“Vanir şu anda C/C++ ve Java hedeflerini destekliyor ve kamu güvenlik yamalarıyla Android çekirdeğinin ve kullanıcı alanı CVE’lerinin %95’ini kapsıyor. Google Android Güvenlik ekibi, Android ekosisteminin yama benimseme risk profilinin tam bir resmini sağlamak için sürekli olarak en son CVE’leri Vanir’in kapsamına dahil ediyor,” diye açıkladı Google’ın Açık Kaynak Güvenlik Ekibi.
“Android güvenlik açıklarına yönelik Vanir imzaları, Açık Kaynak Güvenlik Açıkları (OSV) veritabanı aracılığıyla yayınlanıyor. Bu, Vanir kullanıcılarının kod tabanlarını herhangi bir ek güncellemeye gerek kalmadan en son Android güvenlik açıklarına karşı sorunsuz bir şekilde korumalarına olanak tanır. Şu anda OSV’de 2.000’den fazla Android güvenlik açığı bulunuyor ve tüm bir Android kaynak ağacının taranmasının tamamlanması, modern bir bilgisayarla 10-20 dakika sürebilir,” diye ekledi ekip.
Vanir hem bağımsız bir uygulama hem de Python kütüphanesi olarak mevcuttur. Kullanıcılar, derleme araçlarını Vanir’in tarayıcı kitaplıklarına bağlayarak otomatik yama doğrulamayı sürekli derleme veya test iş akışlarına entegre edebilirler.
Vanir GitHub’dan ücretsiz olarak indirilebilir.
Okumalısınız: