Google ogłosiło udostępnienie oprogramowania Vanir, narzędzia do weryfikacji poprawek dla programistów platformy Android, jako oprogramowania typu open source.
Wprowadzone na Android Bootcamp w kwietniu, narzędzie o nazwie Vanir oparte jest na automatyzacji która przyspiesza sprawdzanie poprawności poprawek, pomagając producentom sprzętu oryginalnego (OEM) zapewnić, że ich urządzenia będą otrzymywać aktualizacje zabezpieczeń szybciej.
Zgodnie z informacją opublikowaną w Internecie, Google „chcem umożliwić szerszej społeczności zajmującej się bezpieczeństwem wniesienie wkładu i czerpanie korzyści z tego narzędzia, umożliwiając szersze przyjęcie i ostatecznie poprawiając bezpieczeństwo w różnych ekosystemach.”
Vanir ma usprawnić wieloetapowy proces łagodzenia luk w zabezpieczeniach Androida. Gdy zostanie odkryta nowa luka w zabezpieczeniach, deweloperzy AOSP tworzą i publikują poprawki upstream. Producenci urządzeń i chipów downstream oceniają następnie wpływ na swoje konkretne urządzenia i backportują niezbędne poprawki. Proces, choć skuteczny, może stwarzać wyzwania skalowalności, szczególnie dla producentów zarządzających różnorodnym zakresem urządzeń i starych modeli ze złożoną historią aktualizacji. Zarządzanie pokryciem poprawek w różnych i dostosowanych urządzeniach często wymaga znacznego wysiłku ze względu na ręczny charakter backportowania.
Vanir zapewnia skalowalne i zrównoważone rozwiązanie do przyjmowania i walidacji poprawek bezpieczeństwa, pomagając zapewnić urządzeniom z Androidem terminową ochronę przed potencjalnymi zagrożeniami. Narzędzie wykorzystuje statyczną analizę kodu źródłowego opartą na kodzie źródłowym, która pozwala analizować całe bazy kodów z pełną historią, pojedynczymi plikami, a nawet częściowymi fragmentami kodu pod kątem znanych wzorców podatności na ataki.
Obecnie Vanir obsługuje cele C/C++ i Java i obejmuje 95% luk bezpieczeństwa jądra Androida i przestrzeni użytkownika za pomocą publicznych poprawek bezpieczeństwa. Zespół Google Android Security konsekwentnie włącza najnowsze luki bezpieczeństwa do pokrycia Vanir, aby zapewnić pełny obraz profilu ryzyka przyjęcia poprawek ekosystemu Androida.
Sygnatury Vanir dla luk w zabezpieczeniach Androida są publikowane w bazie danych Open Source Vulnerabilities (OSV).
Zgodnie z informacją Google’a, Vanir nie jest ograniczony do ekosystemu Androida, możena go łatwo dostosować do innych ekosystemów wprowadzając stosunkowo niewielkie modyfikacje. Ponadto, ponieważ podstawowy algorytm Vanir nie jest ograniczony do walidacji poprawek bezpieczeństwa, po wprowadzeniu stosownych modyfikacji kodu źródłowego można go używać go do różnych celów, takich jak wykrywanie licencjonowanego kodu lub klonów kodu.
Źródło: Google Security Blog