![]() |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Google опубликовал Vanir, статический анализатор для выявления неисправленных уязвимостей" | +/– | ![]() |
Сообщение от opennews (??), 06-Дек-24, 16:58 | ||
Компания Google представила новый открытый проект Vanir, развивающий статический анализатор для автоматического выявления не применённых к коду патчей, устраняющих уязвимости. Vanir использует базу сигнатур с информацией об известных уязвимостях и патчах для устранения этих уязвимостей. Подобная БД ведётся Google с июля 2020 года и охватывает проекты, связанные с платформой Android, включая ядро Linux. В настоящее время поддерживается проверка исходного кода на языках C, C++ и Java. Код Vanir написан на языках С++ и Python, и распространяется под лицензией BSD... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по ответам | RSS] |
5. Сообщение от Аноним (5), 06-Дек-24, 17:09 Скрыто ботом-модератором | +5 +/– | ![]() |
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #11 |
6. Сообщение от Аноним (6), 06-Дек-24, 17:11 | –2 +/– | ![]() |
Мне бы инструмент, который по бинарному файлу либы бы выдал точный коммит, из которого она собрана. При этом допущения: | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #7, #8, #22, #25, #30, #38, #39 |
7. Сообщение от Аноним (6), 06-Дек-24, 17:13 | +/– | ![]() |
Если что - для целей апгрейда либ в старой системе Android без полной пересборки оной из исходников. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 Ответы: #10 |
8. Сообщение от Аноним (8), 06-Дек-24, 17:14 | +2 +/– | ![]() |
Такого инструмента не существует. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 Ответы: #9 |
9. Сообщение от Аноним (6), 06-Дек-24, 17:22 | +/– | ![]() |
Жаль. В теори можно было бы реализовать как определение различий в именах символов из исходников, после чего извлечения символов из бинарей, определение по набору символов набора подходящих коммитов, после чего определение тех символов, которые поменялись, и извлечение из бинаря уже кода и данных по изменившимся символам (в первую очередь - констант и размеров), и матчинг их к изменениям в исходникам. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #8 Ответы: #26 |
10. Сообщение от myster (ok), 06-Дек-24, 17:34 | +1 +/– | ![]() |
Если sha коммита не записывается в виде метаданных в саму либу, то само по себе значение sha бесполезно, т.к. оно может быть постоянно разное и зависит от других изменений в Git репозитории (не связанных именно с этой либой). То есть, это всё-равно, что измерять среднюю температуру по больнице. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #7 |
11. Сообщение от Аноним (-), 06-Дек-24, 17:34 | +/– | ![]() |
> и из-за хромиума и андроида его скоро выпилят | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 Ответы: #13, #14 |
13. Сообщение от Аноним (13), 06-Дек-24, 17:57 | +2 +/– | ![]() |
БезопасТен (TM), абсолютна. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #11 |
14. Сообщение от Аноним (14), 06-Дек-24, 18:12 | –1 +/– | ![]() |
прикольно. Т.е. взяв за основу предположение, судя по всему построенное на присутствии борров-чекера (который типа защищает от CVE связанных с памятью), можно отказаться от механизма каталогизации всех остальных CVE? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #11 Ответы: #20 |
20. Сообщение от Аноним (-), 06-Дек-24, 18:49 | +/– | ![]() |
> прикольно. Т.е. взяв за основу предположение, судя по всему построенное на присутствии | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #14 |
22. Сообщение от Rock (?), 06-Дек-24, 19:02 | +/– | ![]() |
> Мне бы инструмент, который по бинарному файлу либы бы выдал точный коммит, из которого она собрана. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 Ответы: #24 |
24. Сообщение от Аноним (6), 06-Дек-24, 19:32 | +/– | ![]() |
>для этого существует цифровая подпись | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #22 |
25. Сообщение от Семен (??), 06-Дек-24, 20:04 | +/– | ![]() |
1) В большинстве библиотек есть API для получения версии библиотеки, версия в большинстве случаев содержит git коммит в короткой форме, если это не stable версия. Ничего вам не мешает написать динамический загрузчик, и вызывать функцию для проверки версии библиотеки. Найти такие функции очень легко: | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 |
26. Сообщение от Семен (??), 06-Дек-24, 20:17 | +1 +/– | ![]() |
Это не возможно, потому что при разных флагах компилятора и линковщика, уже код будет различаться, не говоря про разные компилятора. Почитайте как работают линкеры. Имена символов манглятся или вовсе удаляются, остаются только имена экспортируемых функций. Для поиска багов есть git bisect и ничего вам не мешает смотреть историю коммитов по конкретному файлу, и найти смещение в бинарнике и дисассемблировать. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 |
30. Сообщение от Аноним (30), 07-Дек-24, 04:03 | +1 +/– | ![]() |
А что делать, если два коммита идентичны? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 |
38. Сообщение от Neon (??), 10-Дек-24, 01:15 | +/– | ![]() |
Странная хотелка. Собрать бинарник можно и без всяких репозиториев. В принципе без них обойтись | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 |
39. Сообщение от Neon (??), 10-Дек-24, 01:17 | +/– | ![]() |
Надо больше хотеть.))) Чтобы по бинарнику получать полную персональную инфу на человека, его собравшего. Фотографию, место жительства, текущее его местонахождение.))) Чтоб было кому за кривой код морду бить.))) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2025 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |