OSV-Scanner radi kao front end bazi podataka OSV.dev
Google je nedavno objavio OSV-skener, alat koji programerima otvorenog koda omogućava lak pristup za provjeru nezakrpljenih ranjivosti u kodu i aplikacijama, uzimajući u obzir cijeli lanac ovisnosti povezanih s kodom.
OSV-Scanner omogućava otkrivanje situacija u kojima aplikacija postaje ranjiva zbog problema u jednoj od biblioteka koje se koriste kao zavisnost. U ovom slučaju, ranjiva biblioteka se može koristiti indirektno, tj. pozvati preko druge zavisnosti.
Prošle godine smo poduzeli napor da poboljšamo klasifikaciju ranjivosti za programere i potrošače softvera otvorenog koda. Ovo je uključivalo objavljivanje sheme ranjivosti otvorenog koda (OSV) i lansiranje usluge OSV.dev, prve distribuirane baze podataka ranjivosti otvorenog koda. OSV omogućava svim različitim ekosistemima otvorenog koda i bazama podataka ranjivosti da objavljuju i konzumiraju informacije u jednostavnom, tačnom i mašinski čitljivom formatu.
Softverski projekti se često grade na vrhu brda zavisnosti: umjesto da počnu od nule, programeri uključuju eksterne softverske biblioteke u projektima i dodati dodatnu funkcionalnost. Međutim, paketi otvorenog kodao često sadrže nedokumentirane isječke koda koji su izvučeni iz drugih biblioteka. Ova praksa stvara šta poznat je kao "tranzitivne zavisnosti" u softveru i znači da može sadržavati više slojeva ranjivosti kojima je teško ručno ući u trag.
Tranzitivne zavisnosti postale su sve veći izvor bezbednosnog rizika otvorenog koda tokom prošle godine. Nedavni izvještaj Endor Labs-a otkrio je da je 95% ranjivosti otvorenog koda u tranzitivnim ili indirektnim ovisnostima, a poseban izvještaj od Sonatype također je naglasio da tranzitivne ovisnosti čine šest od sedam ranjivosti koje utječu na otvoreni izvor.
Prema Googleu, novi alat će početi traženjem ovih tranzitivnih zavisnosti analizom manifesta, softverskih opisa materijala (SBOM) gdje su dostupni i urezivanja hešova. Zatim će se povezati na otvorenu bazu podataka ranjivosti (OSV) kako bi prikazao relevantne ranjivosti.
OSV Scanner može automatski rekurzivno skenirati stablo direktorija, identifikujući projekte i aplikacije po prisutnosti git direktorija (informacije o ranjivosti utvrđenim heš analizom urezivanja), SBOM (softverska lista materijala u SPDX i CycloneDX formatima) datoteka, manifesta ili blok administratora iz arhivskih paketa kao što je Yarn , NPM, GEM, PIP i Cargo. Također podržava skeniranje ispuna slika docker kontejnera izgrađenih na temelju paketa iz Debian spremišta.
OSV-Skener je sljedeći korak u ovom naporu, jer pruža službeno podržani interfejs za OSV bazu podataka koji povezuje listu zavisnosti projekta sa ranjivostima koje na njih utiču.
La informacije o ranjivosti se preuzimaju iz OSV baze podataka (Open Source Ranjivosti), koji pokriva informacije o sigurnosnim problemima u Srates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian i Alpine, kao i podaci o ranjivosti Linux kernela i izvještaji o ranjivosti projekta koji se nalaze na GitHubu.
OSV baza podataka odražava status ispravljanja problema, potvrde sa pojavom i ispravkom ranjivosti, raspon verzija na koje ranjivost utiče, linkovi na repozitorijum projekta sa kodom i obaveštenje o problemu. Dostavljeni API vam omogućava da pratite manifestaciju ranjivosti na nivou urezivanja i oznake i analizirate izloženost problemu iz izvedenih proizvoda i zavisnosti.
Na kraju vrijedi spomenuti da je kod projekta napisan u Go-u i distribuira se pod licencom Apache 2.0. Više detalja o tome možete provjeriti na sljedećem linku.
Programeri mogu preuzeti i isprobati OSV-Scanner sa web stranice osv.dev ili koristiti provjeru ranjivosti OpenSSF Scorecard da automatski pokrenete skener u GitHub projektu.