Разработчики из Google представили открытый проект статического анализатора для выявления неисправленных уязвимостей под названием Vanir.
Исходный код решения написан на и C++ и опубликован на GitHub под лицензией BSD 3-Clause.Проект статического анализатора Vanir подходит для автоматического выявления не применённых к коду патчей, устраняющих уязвимости.Решение Vanir использует базу сигнатур с информацией об известных уязвимостях и патчах для устранения этих уязвимостей.
Подобная БД ведётся Google с июля 2020 года и охватывает проекты, связанные с платформой Android, включая ядро Linux. В настоящее время поддерживается проверка исходного кода на языках C, C++ и Java.По данным OpenNET, проект Vanir состоит из двух частей: генератора сигнатур и детектора пропущенных патчей.
Читать на habr.com