Android 的开源安全补丁验证：Vanir

Google 的开源工具 Vanir 可让 Android 开发者快速扫描自定义平台代码，查找缺失或适用的安全补丁。

通过自动执行补丁验证，Vanir 可帮助 OEM 更快地提供关键安全更新，从而增强Android 生态系统的安全性。

Vanir 使用基于源代码的静态分析来直接识别易受攻击的代码模式。

与容易出错的传统基于元数据的方法不同，Vanir 可以完全准确地分析整个代码库、单个文件或部分代码片段。

Vanir 可自动识别开源软件中缺失的安全补丁，这一过程成本高昂且耗时。

手动方法可能会使设备暴露于漏洞，这促使 Vanir 开发了自动签名细化技术和多模式分析算法。

这些算法可保持较低的误报率（两年内为 2.72%）并处理各种代码更改，从而减少人工审查并检测缺失的补丁。

Vanir 基于源代码的方法可跨生态系统扩展，为任何受支持的语言生成和改进签名。

用户只需提供修补的源文件即可为新漏洞创建签名。

Android 对 Vanir 的采用证明了其影响力：

一名工程师在五天内就为 150 个漏洞生成了签名，并验证了下游分支中缺失的补丁，其表现远远优于传统方法。

目前 Vanir 支持 C/C++ 和 Java 目标，并通过公共安全补丁覆盖了 95% 的 Android 内核和用户空间 CVE。

Google Android 安全团队不断将最新的 CVE 纳入 Vanir 的覆盖范围，以提供 Android 生态系统补丁采用风险状况的完整图景。

Vanir 针对 Android 漏洞的签名是通过开源漏洞 (OSV) 数据库发布的。

这样 Vanir 用户就可以无缝保护他们的代码库免受最新 Android 漏洞的侵害，而无需进行任何额外更新。

目前，OSV 中有超过 2,000 个 Android 漏洞，使用现代 PC 完成整个 Android 源代码树的扫描可能需要 10-20 分钟。

Vanir 既可作为独立应用程序使用，也可作为 Python 库使用。

用户可以将构建工具连接到 Vanir 的扫描器库，将自动补丁验证集成到持续构建或测试工作流程中。

Vanir 可以在GitHub上免费下载。

https://github.com/google/vanir

Vanir 主要由两个组件组成：签名生成器和检测器

Vanir 是一款基于源代码的静态分析工具，可自动识别目标系统中缺失的安全补丁列表。默认情况下，Vanir 会从开源漏洞 (OSV) 中提取最新的 CVE 及其相应的签名，以便用户可以透明地扫描缺失的补丁以获取最新的 CVE 列表。

原文始发于微信公众号（网络研究观）：Android 的开源安全补丁验证：Vanir