OSV-Scanner OSV.dev ডাটাবেসের সামনের প্রান্ত হিসেবে কাজ করে
গুগল সম্প্রতি OSV-স্ক্যানার প্রকাশ করেছে, একটি টুল যা ওপেন সোর্স ডেভেলপারদের সহজে অ্যাক্সেস দেয় কোড এবং অ্যাপ্লিকেশনগুলিতে আনপ্যাচড দুর্বলতা পরীক্ষা করতে, কোডের সাথে সম্পর্কিত নির্ভরতার সম্পূর্ণ চেইনকে বিবেচনা করে।
OSV-স্ক্যানার এমন পরিস্থিতিতে সনাক্ত করতে দেয় যেখানে একটি নির্ভরতা হিসাবে ব্যবহৃত লাইব্রেরিগুলির একটিতে সমস্যার কারণে একটি অ্যাপ্লিকেশন দুর্বল হয়ে পড়ে। এই ক্ষেত্রে, দুর্বল লাইব্রেরিটি পরোক্ষভাবে ব্যবহার করা যেতে পারে, যেমন অন্য নির্ভরতার মাধ্যমে বলা হয়।
গত বছর, আমরা ওপেন সোর্স সফ্টওয়্যার বিকাশকারী এবং গ্রাহকদের জন্য দুর্বলতার শ্রেণীবিভাগ উন্নত করার একটি প্রচেষ্টা হাতে নিয়েছিলাম। এটি ওপেন সোর্স ভলনারেবিলিটি স্কিমা (OSV) প্রকাশ এবং OSV.dev পরিষেবা চালু করার সাথে জড়িত, প্রথম বিতরণ করা ওপেন সোর্স দুর্বলতা ডাটাবেস। OSV সমস্ত ভিন্ন ওপেন সোর্স ইকোসিস্টেম এবং দুর্বলতা ডেটাবেসকে একটি সহজ, নির্ভুল এবং মেশিন-পাঠযোগ্য বিন্যাসে তথ্য প্রকাশ এবং ব্যবহার করতে সক্ষম করে।
সফ্টওয়্যার প্রকল্পগুলি প্রায়শই নির্ভরতার পাহাড়ের উপরে নির্মিত হয়: স্ক্র্যাচ থেকে শুরু করার পরিবর্তে, বিকাশকারীরা বহিরাগত সফ্টওয়্যার লাইব্রেরি অন্তর্ভুক্ত করে প্রকল্পে এবং অতিরিক্ত কার্যকারিতা যোগ করুন। তবে ওপেন সোর্স প্যাকেজo প্রায়ই অনথিভুক্ত কোড স্নিপেট থাকে যা অন্যান্য লাইব্রেরি থেকে টানা হয়। এই অনুশীলন কি তৈরি করে "ট্রানজিটিভ নির্ভরতা" হিসাবে পরিচিত সফ্টওয়্যারে এবং এর অর্থ হল এতে দুর্বলতার একাধিক স্তর থাকতে পারে যা ম্যানুয়ালি ট্রেস করা কঠিন।
ট্রানজিটিভ নির্ভরতা গত বছর ধরে ওপেন সোর্স নিরাপত্তা ঝুঁকির ক্রমবর্ধমান উৎস হয়ে উঠেছে। Endor Labs-এর একটি সাম্প্রতিক রিপোর্টে দেখা গেছে যে 95% ওপেন সোর্স দুর্বলতা ট্রানজিটিভ বা পরোক্ষ নির্ভরতার মধ্যে রয়েছে, এবং সোনাটাইপের একটি পৃথক রিপোর্টও হাইলাইট করেছে যে ওপেন সোর্সকে প্রভাবিত করে সাতটি দুর্বলতার মধ্যে XNUMXটির জন্য ট্রানজিটিভ নির্ভরতা দায়ী।
গুগলের মতে, নতুন টুল এই ট্রানজিটিভ নির্ভরতা খুঁজতে শুরু করবে ম্যানিফেস্ট বিশ্লেষণ করে, সফ্টওয়্যার বিল অফ ম্যাটেরিয়ালস (SBOMs) যেখানে পাওয়া যায়, এবং হ্যাশ কমিট করে। এটি তখন প্রাসঙ্গিক দুর্বলতাগুলি প্রদর্শন করতে ওপেন সোর্স ভালনারেবিলিটি ডাটাবেসের (OSV) সাথে সংযোগ করবে।
ওএসভি স্ক্যানার স্বয়ংক্রিয়ভাবে পুনরাবৃত্তিমূলকভাবে স্ক্যান করতে পারেন একটি ডিরেক্টরি ট্রি, গিট ডিরেক্টরি (কমিট হ্যাশ বিশ্লেষণের মাধ্যমে নির্ধারিত দুর্বলতা সম্পর্কে তথ্য), SBOM (SPDX এবং CycloneDX ফর্ম্যাটে সফ্টওয়্যার বিল অফ ম্যাটেরিয়াল) ফাইল, ম্যানিফেস্ট, বা আর্কাইভ প্যাকেজ যেমন ইয়ার্ন থেকে অ্যাডমিনিস্ট্রেটরদের ব্লক করা , NPM, GEM, PIP, এবং কার্গো। এটি ডেবিয়ান রিপোজিটরি থেকে প্যাকেজগুলির উপর ভিত্তি করে নির্মিত ডকার কন্টেইনার চিত্রগুলির প্যাডিং স্ক্যান করা সমর্থন করে।
OSV-স্ক্যানার হল এই প্রচেষ্টার পরবর্তী ধাপ, কারণ এটি OSV ডাটাবেসে একটি আনুষ্ঠানিকভাবে সমর্থিত ইন্টারফেস প্রদান করে যা একটি প্রকল্পের নির্ভরতা তালিকাকে তাদের প্রভাবিত করে এমন দুর্বলতার সাথে সংযুক্ত করে।
La দুর্বলতা সম্পর্কে তথ্য OSV ডাটাবেস থেকে নেওয়া হয় (ওপেন সোর্স ভালনারেবিলিটিস), যা Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), প্যাকেজিস্ট (PHP), PyPI (Python), RubyGems, Android, Debian এবং নিরাপত্তা সংক্রান্ত সমস্যা সম্পর্কে তথ্য কভার করে। আল্পাইন, সেইসাথে লিনাক্স কার্নেল দুর্বলতা ডেটা এবং গিটহাবে হোস্ট করা প্রকল্পের দুর্বলতার প্রতিবেদন।
OSV ডাটাবেস সমস্যা সংশোধনের অবস্থা প্রতিফলিত করে, দুর্বলতার উপস্থিতি এবং সংশোধনের সাথে নিশ্চিতকরণ, দুর্বলতার দ্বারা প্রভাবিত সংস্করণের পরিসর, কোডের সাথে প্রকল্প সংগ্রহস্থলের লিঙ্ক এবং সমস্যার বিজ্ঞপ্তি। প্রদত্ত API আপনাকে প্রতিশ্রুতি এবং ট্যাগ স্তরে একটি দুর্বলতার প্রকাশকে ট্রেস করতে এবং ডেরিভেটিভ পণ্য এবং নির্ভরতা থেকে সমস্যাটির এক্সপোজার বিশ্লেষণ করতে দেয়।
পরিশেষে এটি উল্লেখ করার মতো যে প্রকল্প কোডটি Go-তে লেখা এবং Apache 2.0 লাইসেন্সের অধীনে বিতরণ করা হয়েছে। আপনি নিম্নলিখিত লিঙ্কে এটি সম্পর্কে আরো বিস্তারিত চেক করতে পারেন.
বিকাশকারীরা osv.dev ওয়েবসাইট থেকে OSV-Scanner ডাউনলোড করে ব্যবহার করে দেখতে পারেন OpenSSF স্কোরকার্ড দুর্বলতা পরীক্ষা একটি GitHub প্রকল্পে স্বয়ংক্রিয়ভাবে স্ক্যানার চালানোর জন্য।