Vanir har eksisteret i nogen tid, men er nu tilgængelig for offentligheden. Ifølge Google gør værktøjet det nemmere og mere skalerbart at scanne efter sikkerhedsmæssige sårbarheder.
Google skriver i et blogindlæg, at værktøjet nu er udgivet som open-source under en BSD 3-licens på GitHub. Google præsenterede oprindeligt Vanir i april i år.
Værktøjet er designet til Android-telefonproducenter og andre udviklere, der arbejder med Android Open Source Project (AOSP). Google forklarer, at Vanir skal lette processen med at rette kendte sårbarheder. Når en sårbarhed opdages, skal upstream-udviklere lave en patch.
Derefter skal udviklere, som typisk er producenterne selv, tilpasse patchen til deres egne enheder. Selvom denne proces er effektiv, skaber den skaleringsproblemer - især for producenter med mange forskellige modeller, der kræver support. Dette har længe været en udfordring for Android-platformen.
Google mener, at Vanir kan hjælpe med dette. Værktøjet analyserer den anvendte kildekode og sammenligner den med kendte mønstre for sårbarheder. Denne metode er mere pålidelig end traditionelle valideringsmetoder, der f.eks. bruger versionsnumre eller repo-historik, da disse ofte kan indeholde fejl.
"Vanirs primære mål er at automatisere den tidskrævende og omkostningstunge proces med at identificere manglende sikkerhedsopdateringer," udtaler Google i forbindelse med deres beslutning om, at værktøjet fremover vil være tilgængelig som open-source.
Vanir bruger bl.a. automatiseret signaturgenkendelse og mønstergenkendelsesalgoritmer. Ifølge Google har algoritmerne en lav fejlmargin med kun 2,72 procent falske positiver, hvilket betyder, at der sjældent rapporteres unødvendige advarsler.
Praktiske tests har vist, at værktøjet effektivt kan identificere mange sårbarheder hurtigt og med begrænsede ressourcer. Værktøjet understøtter programmeringssprogene C, C++ og Java og kan ifølge Google scanne op til 95 procent af Android-kernen for kendte sårbarheder.
Google håber, at det nye værktøj kan hjælpe producenterne af Android-telefoner til hurtigere at lukke diverse sårbarheder i deres systemer.
