Google lança ferramenta de validação de patch de código aberto

As atualizações de segurança no ecossistema Android são um assunto complexo e multiestágio, com cada fabricante downstream responsável por incorporar correções de segurança e implantá-las em dispositivos de usuários individuais. Os fabricantes têm portfólios de dispositivos diversos com diferentes modelos executando diferentes versões do sistema operacional Android e software relacionado, o que significa que eles são responsáveis ​​por várias versões de atualização . Do jeito que está atualmente, atualizar dispositivos Android consome tempo e exige muito trabalho.

Vanir , a mais recente ferramenta de validação de patch de segurança de código aberto do Google, acelera o processo de descobrir quais patches de segurança estão faltando na plataforma, escaneando o código de plataforma personalizado usando análise de código estático. Ao automatizar esse processo, os OEMs podem identificar atualizações de segurança ausentes muito mais rápido do que os métodos atuais, de acordo com um anúncio no Google Security Blog .

O Vanir, que tem uma taxa de precisão de 97%, cobre 95% de todas as vulnerabilidades do Android, Wear e Pixel que já têm correções públicas, disse a empresa. Dentro do Google, o Vanir faz parte do sistema de construção e testa mais de 1.300 vulnerabilidades, economizando às equipes internas "mais de 500 horas até o momento em tempo de correção de patches", de acordo com o Google.

A ferramenta não depende de metadados, como números de versão, histórico de repositório ou configurações de build, para identificar quais atualizações estão faltando. Em vez disso, o Vanir usa técnicas de refinamento automático de assinatura e algoritmos de análise de múltiplos padrões. O Google disse que esses algoritmos têm baixas taxas de alarme falso, observando que em dois anos de testes do Vanir, apenas 2,72% das assinaturas dispararam alarmes falsos.

"Isso permite que a Vanir encontre patches ausentes com eficiência, mesmo com alterações de código, ao mesmo tempo em que minimiza alertas desnecessários e esforços de revisão manual", disse a empresa.

Um único engenheiro usou o Vanir para gerar assinaturas para mais de 150 vulnerabilidades e verificar patches de segurança ausentes em filiais posteriores em apenas cinco dias, observou o Google.

Embora o Vanir tenha sido originalmente introduzido no Android Bootcamp em abril e seja projetado para Android, a ferramenta pode ser adaptada a outros ecossistemas e plataformas com pequenas modificações. O Vanir pode ser usado como um aplicativo independente, bem como uma biblioteca Python. Os usuários podem integrar o Vanir com suas compilações contínuas ou cadeias de teste conectando a ferramenta com bibliotecas do scanner Vanir.

Fonte: darkreading